安全領域在不斷發展變化：一旦某個威脅問世，安全研究人員就立馬剖析該惡意軟件，形成基于特征的檢測規則，以便查出、最好挫敗感染。

這個屢試不爽的方法自幾個競爭對手在1987年發布第一批公開記錄的反病毒軟件以來就存在了。雖然大多數病毒在載荷(或破壞程度)方面影響/范圍有限，但過去幾年已發生了很大的變化，尤其是日益依賴“始終聯通”的數據通信系統。

惡意軟件的開發者欣然接受了這個始終聯通的理論，并且利用它來為其病毒增添一種活力，那樣它們不僅輕巧、隱蔽，而且更容易改動(形成規避檢測的變種)，而且在一些情況下，可以像普通軟件那樣進行更新，為未來的針對性攻擊增添特性豐富的載荷。

CTB-Locker到底是什么東東?

正如CryptoWall(及之前的版本CryptoLocker)惡意軟件表明的那樣，對安全漏洞和危害性可能很大的載荷而言，標準繼續提升。CTB-Locker在同時感染企業和消費者的工作站，眼下出現了一股日益盛行的潮流：加密數據的勒索軟件目前在互聯網上興風作浪，而CTB-Locker是下一個代表。

一旦被感染了該病毒，它會掃描計算機，根據文件類型加密數據，針對企業環境中使用的許多類型的文件，比如.PDF、.XLS和.PPT等等。一旦加密了文件，該病毒就會創建一個.TXT和.HTML文件，附有的指示表明了如何獲得解密密鑰，只有支付規定的贖金后才能拿到密鑰。解密密鑰最多在96小時內有效;一旦超過了這個時間，服務器就會刪除解密密鑰，那樣文件仍然處于加密狀態。

它來自何處?

目前起源仍然不明。不過，可能一個更值得關注的問題是：它去向何處?

CTB-Locker在網上肆虐已有一段時日;感染被控制在世界上特定的地區，不過越來越多的感染正慢慢擴散到法國和西班牙，這表明這個惡意軟件在全球范圍內呈泛濫態勢。

它是如何感染計算機的?

感染主要可以追溯到含有惡意軟件的垃圾郵件(作為.ZIP文件中的附件)。該附件被打開后，它就會在%Temp%文件夾中創建一個副本。一旦運行，它就會將惡意代碼注入到Windows計算機的svchost.exe進程，這反過來會為%Temp%文件夾中的該文件建立一個計劃任務，系統一啟動就運行。

此后創建互斥鎖(也就是允許共享資源運行，但并非同時運行的程序線程)，確保該惡意軟件在任何特定時間只有一個實例會運行。注入到svchost.exe中的這段代碼也是根據文件類型對計算機上數據加密的同一個進程。

我如何知道自己的計算機被感染了?

與CryptoWall一樣，有幾個跡象表明CTB-Locker是否已感染了你系統的數據。

•試圖打開某些文件時，比如.xls或.pdf，文件可以用正確的程序來運行，但是數據可能出現錯亂，或者沒有正確顯示。另外，試圖打開被感染的文件時會跳出一個錯誤信息。

•在被CTB-Locker感染、文件已被加密的一些情況下，文件名含有的后綴會帶有隨機生成的一系列字符;比如說，filename.pdf會被改名成filename.pdf.siudfh。

•最常見的跡象就是在含有被CTB-Locker加密的文件的My Documents目錄的root出現兩個文件。文件名隨機生成，就像上面添加到所有加密文件尾部的后綴那樣。

RANDOM_FILENAME.txt

RANDOM_FILENAME.html

此外，剛剛成功驗證后會出現贖金屏幕，顯示一條警告信息，表明該計算機受到了CTB-Locker的危及;96小時倒計時已開始，必須及時支付贖金、獲得解密密鑰，方可解密數據。

采取包含在.HTML文件中的步驟之后，指示會要求最終用戶安裝Tor，以便與病毒開發者的服務器進行通信，并出示贖金已付(用比特幣來支付)的證據。一旦付款得到證實，解密密鑰就會提供給最終用戶，用來解密加密的文件。

此外，CTB-Locker警告屏幕讓最終用戶可以免費解密五個文件，證實解密密鑰確實有效;一旦贖金已付，最終用戶就可以重新使用其數據。#p#

如果計算機被感染了CTB-Locker，有哪些辦法?

證實確實感染了CTB-Locker的辦法是，使用內置到所提供的Tor URL的上傳機制，在任何加密文件上試一下。如果文件沒有被解密，那么可能是另一種病毒感染了計算機，或者是檢索文件的時間限制已到期。在這兩種情況下，請閱讀下列章節。

如果文件成功解密，你也答應了支付贖金，就要考慮幾個方面(我寫的下文涉及CryptoWall，但給出的建議同樣適用于CTB-Locker)：

“支付贖金本身是一種方法。遺憾的是，贖金必須用比特幣來支付，這種數字貨幣用來購買貨品和服務，類似美元。然而，由于缺少監管和普遍沒有得到接受，比特幣是一個小眾市場，不如美元來得常見。”

增添購買難度的是，許多將美元兌換成比特幣的交易所對購買較大數額的比特幣有所限制。另外還有更嚴格的公司政策，進一步限制了積累必要的比特幣數額以支付贖金。許多這些變化的出現是CryptoWall病毒直接導致的，我們已知道一些交易所取消了交易，限制涉嫌使用其服務來支付贖金的帳戶。

雖然有難度，但仍可以在交易所開設帳戶，開始籌資以購買比特幣，目的是為了在指定的時間內支付贖金。要是你既沒有時間，又缺乏技術，另一個可行的辦法就是尋求在這方面有經驗的IT顧問提供的服務。他們也許能夠幫助你全面地恢復數據。”

我無力/不會支付贖金。那么還有其他什么辦法可以恢復數據嗎?

確定到底要不要支付贖金是個人選擇問題，這歸結為丟失數據的內在價值。雖然付錢換取解密密鑰可能是比聘請顧問或派IT成員來處理數據恢復更簡單、有時更省錢的辦法，但對某些受監管的機構或者時間限制已到期的受害者而言，可能別無選擇。

幸好，最終用戶可以采取一些措施，不用花錢就能看看其文件能不能恢復。要認識到這是個很大的前提條件;大多數情況下結果是不付贖金就丟失數據;果真在指定時間內付款的那些人能夠通過使用用于解密的私有密鑰來恢復數據。

有了這樣的免責聲明在先，恢復文件的最有效方法就是使用備份。如果你的文件之前定期備份起來，將備份硬盤連接到沒有被感染的計算機上，檢查你的文件;要是文件在上面，又沒有受到感染，你就可以清除被感染計算機上的CTB-Locker，可以重新接上硬盤恢復數據。

如果有基于云的備份，你也許能夠先給計算機殺毒，然后從云端恢復你的數據，這具體視服務提供商而定。一些云服務(比如Dropbox)將數據的本地副本存儲在主機上;在這種情況下，大多數云服務提供了文件版本控制功能，作為一種額外的保護機制，防范文件被錯誤地改動。如果給計算機殺毒后使用這項功能，你應該能夠將文件的變化部分恢復到感染前的那個日期和時間。

要是根本就沒有未受影響的本地或云端備份，那么想恢復文件，唯一的機會就在于卷影拷貝服務(VSS)，恢復之前的文件版本，或系統還原。由于CTB-Locker感染的大部分過程是自動化，截至2015年1月的最新變種會執行命令，刪除文件的卷影拷貝，所以有時候，命令因系統資源問題或死機而無法執行。在這種情況下(不過很少見)，只要將系統還原到感染發生之前的時間和日期，就有可能恢復文件。請注意：這是例外，而不是慣例;每種情況需要個別處理。

另外，你可以試著使用ShadowExplorer，恢復一兩個文件試試，測試一下這個方法對你來說是否管用;要是管用，記得先清理計算機，清除任何感染，之后再設法恢復你的所有數據。要是系統沒有得到清理，它只會試圖再次加密文件――而這一回，它也許會成功地停止VSS、清空緩存內容。#p#

應該采取哪些步驟來保護計算機?

不管感染風險大小如何，有幾個步驟應該始終要采取。下列建議適用于計算機安全最佳實踐，而不是僅僅適用于某一種病毒或一小類惡意軟件。

應該安裝一款主動式反病毒軟件，擁有最新的病毒定義文件，而且在指定時間以及打開文件時實時掃描系統。此外，應該使用帶有主動掃描功能的惡意軟件掃描工具，并且用最新的定義文件來加以更新，始終不能禁用。

最后，每一款現代化的計算機操作系統都帶有個人防火墻;應該啟用并配置這個防火墻，那樣只有來自已知應用程序的流量才可以上傳/下載。其他所有流量、尤其是來自未知來源的流量都應該暫停下來，除非得到最終用戶的授權。

你的計算機得到保護后，我們再來說說安全面臨的最大威脅之一：用戶。對最終用戶進行安全教育對基于計算機的保護而言至關重要。畢竟，最終用戶也許能夠因為防火墻“太煩人”而禁用防火墻，或者因為“計算機運行速度太慢”而停止反病毒掃描。此外，最終用戶應該受到培訓，明白不點擊來歷不明的鏈接或安裝可疑軟件，因為如今的許多惡意軟件感染一開始都是企圖實施網絡釣魚的威脅，后來逐漸演變成轉發的垃圾電子郵件，撒下一張更大的網。

下一步，保護網絡安全，包括控制沒有必要訪問數據的用戶帳戶――既包括本地數據，又包括存儲在服務器共享區上的數據。以CTB-Locker為例，文件的加密程度受制于已登錄的最終用戶與其用戶帳戶關聯的訪問權限。在企業環境下，用戶幾乎總是使用權限有限的標準帳戶，他們擁有完全訪問權限的文件(也就是配置文件文件夾)才會受到文件加密的影響;然而，對于那些其帳戶對系統擁有管理員權限的最終用戶而言，所有文件都有可能被加密。如果安全管理員定期審查用戶和用戶組在網絡上的權限，以及在本地計算機上的權限，那最好不過了?；谧钚嘞拊瓌t的最佳實踐是良好的基礎。

合理的備份系統(最好擁有本地和基于云的備份計劃)將不遺余力地保護數據。即便系統受到了危及，你照樣能夠在需要時恢復自己的數據。

保護方面需要考慮的其他因素包括安全互聯網實踐。別訪問可疑網站，千萬不要點擊電子郵件里面所附的鏈接，絕對不要在聊天室、論壇、討論區或社交媒體網站上向任何人提供任何形式的個人身份信息!

最后，如果你是企業網絡上的系統管理員，或者使用隨處可得的應用程序(比如CryptoPrevent)來阻止CTB-Locker用來潛入你計算機的多條途徑，不妨考慮啟用軟件限制策略。

結束語

安全不是IT。安全不是組織或運營方面的要點。安全是每個人、每個地方都要積極主動地使用技術來溝通、發送/接收個人性質或工作性質的數據。

安全是每個人的責任。雖然這可能對于遏制惡意軟件的出現沒有太大的作用，但它對于確保惡意軟件感染并不導致數據丟失和破壞或者受到窺視、敏感信息泄密大有幫助。

英文：CTB-Locker virus: How to protect your systems, and what to do if infected