php_locker技巧_首次现身中国的CTBLocker比特币敲诈者病毒分析

这是海内首次涌现敲诈比特币的病毒攻击，该病毒敲诈过程具有高暗藏性、高技能犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点，对一些具有外洋业务的企业造成恶劣影响。
360QVM团队第一韶光对该病毒进行了深入剖析。

一、择要

CTB-Locker病毒通过邮件附件传播，如果用户欠妥心运行，用户系统中的文档、照片等114种文件会被病毒加密。
病毒在用户桌面显示打单信息，哀求向病毒作者支付8比特币赎金才能够解密还原文件内容。

由于获取赎金支付信息须要在Tor网络中进行， Tor网络是随机匿名并且加密传输的，比特币交易也是完备匿名的，这使罹病毒作者难以被追踪到，受害者支付赎金的难度也不小。
一旦中招，对大多数人来说只能考试测验找回被加密文件“以前的版本”，但条件是系统开启了卷影复制或Windows备份做事，否则很难找回文件。

二、样本信息

MD5：a2fe69a12e75744b7088ae13bfbf8260

传播量：估算全国范围内>1000

受影响的操作系统： Windows系统

样本图标：

病毒名称：Malware.QVM20.GEN

截获韶光：2015-01-19 14:01:02

查杀韶光：2015-01-19 14:01:02（QVM人工智能引擎在首次捕获样本时即可查杀）

三、技能细节

样本攻击流程如下：

第一步：通过邮件附件发送病毒样本

第二步：

病毒利用了大量垃圾指令用于阻碍样本分析，终极在内存中展开第三步所用的PE文件。

循环解密，写入动态申请的内存中

解密完成，跳转到动态申请的内存中，实行解密后的代码

动态得到系统API

再次申请内存，将自身解密，内存中动态展开第三步所用病毒

第三步:

从获取自身资源，开释并实行RTF文件，让用户误以为打开了文档

RTF文件内容如下：

接下来,样本考试测验访问windowsupdate.microsoft.com，判断用户是否可以联网。

如果可以联网，则会循环读取下载列表，下载加密文件

下载列表如下：（部分链接已无法访问）

http://breteau-photographe.com/tmp/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://breteau-photographe.com/tmp/pack.tar.gz

http://voigt-its.de/fit/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://jbmsystem.fr/jb/pack.tar.gz

http://pleiade.asso.fr/piwigotest/pack.tar.gz

http://scolapedia.org/histoiredesarts/pack.tar.gz

通过解密pack.tar.gz得到第四步所用的病毒。

第四步：

利用之前相似的办法，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍剖析。

代码还原后，可以在内存中得到第五步所需的病毒。

第五步:

终极的敲诈功能在第五步中实现。

运行后会将自身拷贝到temp目录中，并且创建操持任务，实现自启动。

远程注入恶意代码到svchost.exe中

判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍剖析，增加触发病毒代码的条件。

遍历用户所有文件，包括硬盘、U盘、网络共享等。

判断用户的文件格式是否符合传染目标，共114种文件作为病毒传染目标

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根据打算机启动韶光,文件创建，修正，访问韶光等信息为随机种子天生KEY。
对文件ZLIB压缩之后进行了AES加密:

终极修正受害者壁纸，显示打单信息：