比特币敲诈者病毒“CTB-Locker” 首次现身中国

你是否正在寻找关于ctb-locker的内容？让我把最实用的东西奉献给你：

昨天开始，国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密，同时提示受害者在96小时内支付8比特币（约1万元）赎金，否则文件将永久无法打开。这是ctb-locker敲诈者病毒首次额高、攻击高端人士、中招危害高的“五高”特点，对一些具有海内>1000
受影响的操作系统： Windows系统
样本图标：

病毒名称：Malware.QVM20.GEN

技术细节
样本攻击流程如下：
第一步：通过邮件附件发送病毒样本

第二步：
病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE文件。

循环解密，写入动态申请的内存中

解密完成，跳转到动态申请的内存中，执行解密后的代码

动态获得系统API
再次申请内存，将自身解密，内存中动态展开第三步所用病毒

第三步:
从获取自身资源，释放并执行RTF文件，让用户误以为打开了文档

RTF文件内容如下：

接下来,样本尝试访问windowsupdate.microsoft.com，判断用户是否可以联网。

如果可以联网，则会循环读取下载列表，下载加密文件
下载列表如下：（部分链接已无法访问）
通过解密pack.tar.gz得到第四步所用的病毒。

第四步：
利用之前相似的方式，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍分析。

代码还原后，可以在内存中得到第五步所需的病毒。

第五步:
最终的敲诈功能在第五步中实现。
运行后会将自身拷贝到temp目录中，并且创建计划任务，实现自启动。
远程注入恶意代码到svchost.exe中
判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoo.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒代码的条件，。
遍历用户所有文件，包括硬盘、U盘、网络共享等。
判断用户的文件格式是否符合感染目标，共114种文件作为病毒感染目标
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根据计算机启动时间,文件创建，修改，访问时间等信息为随机生成KEY。对文件ZLIB压缩之后进行了AES加密：

最终修改受害者壁纸，显示勒索信息：

安全建议
二、重要数据做好日常备份，推荐使用360杀毒“文件堡垒”进行保护，防止文件被误删；
三、及时更新安全软件防范病毒。

（责任编辑：HT002）

以上就是关于ctb-locker的全部内容，相信你一定会非常满意。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-2686-1.html