贷款公司是否遭遇比特币敲诈病毒病毒
点击联系发帖人
时间:2017-05-16 02:08
首次现身中国的CTB-Locker“比特币敲诈者”病毒分析 -
| 关注黑客与极客
首次现身中国的CTB-Locker“比特币敲诈者”病毒分析
共626863人围观
,发现 52 个不明物体
??昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。
??这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点,对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。????
??一、摘要??
??CTB-Locker病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。?
??由于获取赎金支付信息需要在Tor网络中进行, Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到,受害者支付赎金的难度也不小。一旦中招,对大多数人来说只能尝试找回被加密文件“以前的版本”,但前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。??
??二、样本信息??
??MD5:a2fe69a12eae13bfbf8260
??传播量:估算全国范围内&1000??
??受影响的操作系统: Windows系统??
??样本图标:??
??病毒名称:Malware.QVM20.GEN??
??截获时间:4:01:02??
??查杀时间:4:01:02(QVM人工智能引擎在首次捕获样本时即可查杀)??
??三、技术细节??
??样本攻击流程如下:
??第一步:通过邮件附件发??送病毒样本??
??病毒使用了大量垃圾指令用于阻碍样本分析,最终在内存中展开第三步所用的PE文件。??
??循环解密,写入动态申请的内存中??
??解密完成,跳转到动态申请的内存中,执行解密后的代码??
??动态获得系统API??
??再次申请内存,将自身解密,内存中动态展开第三步所用病毒??
??第三步:??
??从获取自身资源,释放并执行RTF文件,让用户误以为打开了文档??
??RTF文件内容如下:??
????????接下来,样本尝试访问,判断用户是否可以联网。??????
??如果可以联网,则会循环读取下载列表,下载加密文件????
????下载列表如下:(部分链接已无法访问)??
??/tmp/pack.tar.gz??
??/assets/pack.tar.gz??
??/tmp/pack.tar.gz??
??http://voigt-its.de/fit/pack.tar.gz??
??/assets/pack.tar.gz??
??http://jbmsystem.fr/jb/pack.tar.gz??
??http://pleiade.asso.fr/piwigotest/pack.tar.gz??
??http://scolapedia.org/histoiredesarts/pack.tar.gz??
??通过解密pack.tar.gz得到第四步所用的病毒。??
??第四步:??
??利用之前相似的方式,动态解密自身,在内存中展开新的PE文件,并且这个文件被加了壳,目的还是阻碍分析。??
??代码还原后,可以在内存中得到第五步所需的病毒。??
??最终的敲诈??功能在第五步中实现。
??运行后会将自身拷贝到temp目录中,并且创建计划任务,实现自启动。
??远程注入恶意代码到svchost.exe中??????
??判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程,目的也是为了阻碍分析,增加触发病毒代码的条件。??
??遍历用户所有文件,包括硬盘、U盘、网络共享等。??
??判断用户的文件格式是否符合感染目标,共114种文件作为病毒感染目标??
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
??根据计算机启动时间,文件创建,修改,访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:??
??最终修改受害者壁纸,显示勒索信息:??
[作者/360QVM团队,转载请注明来自FreeBuf黑客与极客()]
我写的;)
'"&biubiubiu
8个比特币只值1万元RMB了 :-(
老子1个T的种子啊
是。360啥都第一,妙射也第一。
解决方案呢?
必须您当前尚未登录。
必须(保密)
360安全卫士官方账号
关注我们 分享每日精选文章}
| 关注黑客与极客
首次现身中国的CTB-Locker“比特币敲诈者”病毒分析
共626863人围观
,发现 52 个不明物体
??昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。
??这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点,对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。????
??一、摘要??
??CTB-Locker病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。?
??由于获取赎金支付信息需要在Tor网络中进行, Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到,受害者支付赎金的难度也不小。一旦中招,对大多数人来说只能尝试找回被加密文件“以前的版本”,但前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。??
??二、样本信息??
??MD5:a2fe69a12eae13bfbf8260
??传播量:估算全国范围内&1000??
??受影响的操作系统: Windows系统??
??样本图标:??
??病毒名称:Malware.QVM20.GEN??
??截获时间:4:01:02??
??查杀时间:4:01:02(QVM人工智能引擎在首次捕获样本时即可查杀)??
??三、技术细节??
??样本攻击流程如下:
??第一步:通过邮件附件发??送病毒样本??
??病毒使用了大量垃圾指令用于阻碍样本分析,最终在内存中展开第三步所用的PE文件。??
??循环解密,写入动态申请的内存中??
??解密完成,跳转到动态申请的内存中,执行解密后的代码??
??动态获得系统API??
??再次申请内存,将自身解密,内存中动态展开第三步所用病毒??
??第三步:??
??从获取自身资源,释放并执行RTF文件,让用户误以为打开了文档??
??RTF文件内容如下:??
????????接下来,样本尝试访问,判断用户是否可以联网。??????
??如果可以联网,则会循环读取下载列表,下载加密文件????
????下载列表如下:(部分链接已无法访问)??
??/tmp/pack.tar.gz??
??/assets/pack.tar.gz??
??/tmp/pack.tar.gz??
??http://voigt-its.de/fit/pack.tar.gz??
??/assets/pack.tar.gz??
??http://jbmsystem.fr/jb/pack.tar.gz??
??http://pleiade.asso.fr/piwigotest/pack.tar.gz??
??http://scolapedia.org/histoiredesarts/pack.tar.gz??
??通过解密pack.tar.gz得到第四步所用的病毒。??
??第四步:??
??利用之前相似的方式,动态解密自身,在内存中展开新的PE文件,并且这个文件被加了壳,目的还是阻碍分析。??
??代码还原后,可以在内存中得到第五步所需的病毒。??
??最终的敲诈??功能在第五步中实现。
??运行后会将自身拷贝到temp目录中,并且创建计划任务,实现自启动。
??远程注入恶意代码到svchost.exe中??????
??判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程,目的也是为了阻碍分析,增加触发病毒代码的条件。??
??遍历用户所有文件,包括硬盘、U盘、网络共享等。??
??判断用户的文件格式是否符合感染目标,共114种文件作为病毒感染目标??
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
??根据计算机启动时间,文件创建,修改,访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:??
??最终修改受害者壁纸,显示勒索信息:??
[作者/360QVM团队,转载请注明来自FreeBuf黑客与极客()]
我写的;)
'"&biubiubiu
8个比特币只值1万元RMB了 :-(
老子1个T的种子啊
是。360啥都第一,妙射也第一。
解决方案呢?
必须您当前尚未登录。
必须(保密)
360安全卫士官方账号
关注我们 分享每日精选文章}
我要回帖
更多关于 比特币病毒专杀工具 的文章
更多推荐
- ·为什么有人烧香烧五根香三长两短怎么回事烧的不一样高?
- ·表格里怎么一列填充同样的内容a出现的数字,怎么自动填写到b表格里怎么一列填充同样的内容对应的单元格?
- ·头一年玉米地的灭草济,第二年移植苍术除草剂哪种最好有影响吗?
- ·求excel表格计算公式大全公式
- ·电动自行电瓶车无线充电隔空距离充电的设备和产品哪家公司有?大神们回答一下呗?
- ·厂长因家庭经济困难证明被通缉,被抓后会怎么样
- ·急求,你们知道澳洲wiseway global这家物流吗?
- ·驰马塑胶模具,模具做一个注塑模具多少钱有什么优势
- ·鳄鱼宝有获得专利 英文过专利吗?
- ·上海设舟山自由贸易港区区成为“一带一路”桥头堡?
- ·天津在售独栋别墅楼盘大别墅哪个楼盘的好
- ·迷信纸生产厂家厂那家生产毛边纸呢
- ·什么工作有退休金是退休金 退休金的特点
- ·信用卡问题 本人万用金每月几号会更新买车 每月还款7000多,要保证每月有7000元的现金还款,需要几张信用卡来回倒?
- ·深圳手机套生产厂家壳生产厂家有什么?
- ·发顺丰快件损毁罚快递员递快件被损坏我该怎么办
- ·转让的超市证件能买房过户需要什么证件吗?
- ·e宝通跟支付宝余额宝利息在附加消费支付功能方面,哪个有优势
- ·上海钥澜实业有限公司天钥实业公司地址
- ·有没有什么比较靠谱的皮带轮生产厂家厂家推荐一下?
- ·贷款公司是否遭遇比特币敲诈病毒病毒
- ·安徽安徽省六安市金寨县周集镇街道蛋糕店手机号
- ·剑网3烹饪专精精做什么比较赚钱
- ·换发股票分割与合并的企业合并具体是怎么一回事
- ·开好零食店要买钻戒注意哪些细节节
- ·求指导大家家里有用保险柜摆放家里图片吗都什么牌子型号的呢
- ·象屿股份易贷邦最后总体的费用会比别的还便宜吗?
- ·为什么没人讲“讲职场的电视剧爸爸”
- ·中美国军事实力到底多强的体现1.中国的军工业生产能力到底有多
- ·为什么说c919是中国首架大飞机c919最新新闻的最新相关信息
- ·印度释迦牟尼佛像像适合摆在办公室哪一块
- ·有仙佛缘的人能不能出道在于自己的悟道和人的修行最高境界句子的境界
- ·政府单位聘用工作人聘用制书记员辞职信(辞职原因分居),帮助一份辞职信。
- ·出彩中国人人看看,以后出彩中国人人还敢说南海是出彩中国人的吗
- ·我是94年退武的兵。有退役士兵安置卡卡。民政局给我安排到一个单位。可是单位主管部门三,四年没有给我安排工作。
