首次现身中国的CTB-Locker“比特币敲诈者”病毒分析

　　昨天开始，国内有众多网友反馈中了CTB-Locker敲诈者病毒， 电脑里的文档、图片等重要资料被该病毒加密，同时提示受害者在96小时内支付8比特币（约1万元人民币）赎金，否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国，受害者大多是企业高管等商务人士。

　　这是国内首次出现敲诈比特币的病毒攻击，该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点，对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。

　　一、摘要

　　CTB-Locker病毒通过邮件附件传播，如果用户不小心运行，用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息，要求向病毒作者支付8比特币赎金才能够解密还原文件内容。点我了解更多勒索病毒

　　由于获取赎金支付信息需要在Tor网络中进行， Tor网络是随机匿名并且加密传输的，比特币交易也是完全匿名的，这使得病毒作者难以被追踪到，受害者支付赎金的难度也不小。一旦中招，对大多数人来说只能尝试找回被加密文件“以前的版本”，但前提是系统开启了卷影复制或Windows备份服务，否则很难找回文件。

　　二、样本信息

　　MD5：a2fe69a12e75744b7088ae13bfbf8260

　　传播量：估算全国范围内>1000

　　受影响的操作系统： Windows系统

　　样本图标：

　　病毒名称：Malware.QVM20.GEN

　　截获时间：2015-01-1914：01：02

　　查杀时间：2015-01-1914：01：02（QVM人工智能引擎在首次捕获样本时即可查杀）

　　三、技术细节

　　样本攻击流程如下：

　　第一步：通过邮件附件发送病毒样本

　　第二步：

　　病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE文件。

　　循环解密，写入动态申请的内存中

　　解密完成，跳转到动态申请的内存中，执行解密后的代码

　　动态获得系统API

　　再次申请内存，将自身解密，内存中动态展开第三步所用病毒

　　第三步：

　　从获取自身资源，释放并执行RTF文件，让用户误以为打开了文档

　　RTF文件内容如下：

　　接下来，样本尝试访问windowsupdate.microsoft.com，判断用户是否可以联网。

　　如果可以联网，则会循环读取下载列表，下载加密文件

　　下载列表如下：（部分链接已无法访问）

　　http：//breteau-photographe.com/tmp/pack.tar.gz

　　http：//maisondessources.com/assets/pack.tar.gz

　　http：//breteau-photographe.com/tmp/pack.tar.gz

　　http：//voigt-its.de/fit/pack.tar.gz

　　http：//maisondessources.com/assets/pack.tar.gz

　　http：//jbmsystem.fr/jb/pack.tar.gz

　　http：//pleiade.asso.fr/piwigotest/pack.tar.gz

　　http：//scolapedia.org/histoiredesarts/pack.tar.gz

　　通过解密pack.tar.gz得到第四步所用的病毒。

　　第四步：

　　利用之前相似的方式，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍分析。

　　代码还原后，可以在内存中得到第五步所需的病毒。

　　第五步：

　　最终的敲诈功能在第五步中实现。

　　运行后会将自身拷贝到temp目录中，并且创建计划任务，实现自启动。

　　远程注入恶意代码到svchost.exe中

　　判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒代码的条件。

　　遍历用户所有文件，包括硬盘、U盘、网络共享等。

　　判断用户的文件格式是否符合感染目标，共114种文件作为病毒感染目标

　　pwm，kwm，txt，cer，crt，der，pem，doc，cpp，c，php，js，cs，pas，bas，pl，py，docx，

　　rtf，docm，xls，xlsx，safe，groups，xlk，xlsb，xlsm，mdb，mdf，dbf，sql，md，dd，

　　dds，jpe，jpg，jpeg，cr2，raw，rw2，rwl，dwg，dxf，dxg，psd，3fr，accdb，ai，arw，

　　bay，blend，cdr，crw，dcr，dng，eps，erf，indd，kdc，mef，mrw，nef，nrw，odb，odm，

　　odp，ods，odt，orf，p12，p7b，p7c，pdd，pdf，pef，pfx，ppt，pptm，pptx，pst，ptx，

　　r3d，raf，srf，srw，wb2，vsd，wpd，wps，7z，zip，rar，dbx，gdb，bsdr，bsdu，bdcr，

　　bdcu，bpdr，bpdu，ims，bds，bdd，bdp，gsf，gsd，iss，arp，rik，gdb，fdb，abu，config，rgx

　　根据计算机启动时间，文件创建，修改，访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密：

　　最终修改受害者壁纸，显示勒索信息：