揭露“Bitcoin Blackmailer”病毒攻击过程

国内已有不少网友反映感染CTB-Locker勒索病毒。 电脑中的文档、图片等重要数据被病毒加密，提醒受害者在96小时内支付8比特币（约1万元人民币）的赎金，否则文件将永久无法打开。 这是CTB-Locker勒索病毒首次在国内出现，受害者多为企业高管等商务人士。

这是国内首次病毒攻击勒索比特币。 病毒勒索过程具有隐蔽性高、犯罪技术含量高、勒索金额高、攻击人群高端、危害大等特点。 公司产生不利影响。 360QVM团队第一时间对病毒进行了深度分析。 摘要 CTB-Locker 病毒通过电子邮件附件传播。 如果用户不慎运行，用户系统中的文档、照片等114类文件将被病毒加密。 该病毒在用户桌面显示勒索信息比特币病毒被360攻击，要求病毒作者支付8比特币的赎金才能解密并恢复文件内容。

因为获取赎金支付信息需要在Tor网络中进行，Tor网络是随机匿名加密的，比特币交易也是完全匿名的，使得病毒作者难以被追踪，同时也是受害人难以支付赎金。 一旦中招，一般人只能尝试找回“以前版本”的加密文件比特币病毒被360攻击，但前提是系统启用了卷影复制或Windows备份服务，否则很难找回文件。

样品信息

MD5: a2fe69a12e75744b7088ae13bfbf8260

传输量：估计全国>1000

受影响的操作系统：Windows

示例图标：

病毒名称：Malware.QVM20.GEN

技术细节示例攻击流程如下：

第 1 步：将病毒样本作为电子邮件附件发送

第二步：

病毒使用大量垃圾指令阻碍样本分析，最终在内存中扩展第三步使用的PE文件。

循环解密，写入动态请求的内存

解密完成后，跳转到动态申请的内存，执行解密后的代码

动态获取系统API

再次申请内存，自己解密，在内存中动态扩展第三步用到的病毒

第三步：

从获取自身资源，释放执行RTF文件，让用户误以为文档被打开

RTF文件内容如下：

接下来，示例尝试访问 windowsupdate.microsoft.com 以确定用户是否可以连接到 Internet。

如果可以联网，会循环读取下载列表，下载加密文件

下载列表如下：（部分链接已无法访问）

解密pack.tar.gz得到第四步用到的病毒。

第四步：

使用和之前类似的方法，动态解密自己，在内存中展开一个新的PE文件，并将这个文件打包，目的还是为了阻碍分析。

代码还原后，内存中就可以得到第五步需要的病毒了。

第五步：

最后的勒索功能在第五步实现。

运行后会把自己复制到temp目录下，并创建定时任务实现自启动。

远程向 svchost.exe 注入恶意代码

判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程的目的是阻碍分析，增加触发病毒代码的条件。

遍历用户的所有文件，包括硬盘、U盘、网络共享等。

判断用户文件格式是否适合感染目标，共114个文件作为病毒感染目标pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs , pas, bas, pl, py, docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

海湾，混合，cdr，crw，dcr，dng，eps，erf，indd，kdc，mef，mrw，nef，nrw，odb，odm，

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu, bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根据电脑启动时间、文件创建、修改、访问时间等信息，为随机种子生成KEY。 ZLIB压缩文件后进行AES加密：

最后修改受害者的壁纸以显示勒索信息：