勒索病毒

勒索病毒曾經(jīng)出現(xiàn)引起過安全圈的關(guān)注。“CTB-Lock”勒索病毒是其中的代表之一，也是目標(biāo)性極強(qiáng)的比特幣敲詐者病毒。其傳播途徑主要是通過郵件進(jìn)行擴(kuò)散，中毒后會加密磁盤里的數(shù)據(jù)，并發(fā)送勒索信息，若不支付勒索費(fèi)用，文件將會在95小時內(nèi)被全部刪除。

綠盟緊急響應(yīng)團(tuán)隊(duì)曾經(jīng)收到了不少客戶的咨詢，發(fā)現(xiàn)自身的內(nèi)部網(wǎng)絡(luò)中收到了該類型的病毒，并提供了惡意樣本。

1. 病毒樣本的原理

1) 傳播方式

CTB-Locker敲詐者病毒的隱秘性非常高，主要是通過郵件的方式進(jìn)行傳播，郵件的文件格式類似如下：

2) 感染方式

該病毒附件是一個zip的壓縮包，里面的帶有一個.scr的文件。如下圖：

在點(diǎn)擊之后會在打開該文件之后是一個Downloader，病毒會先判斷本機(jī)能否連接Windows Update站點(diǎn)，如果可以上網(wǎng)，則會自動向幾個特殊的域名進(jìn)行下載操作，并在根目錄下生成一個.cab的文件，并自動執(zhí)行，同時打開.cab中的rtf文件。如下圖：

這時，用戶以為自己僅打開了一個普通的文件，其實(shí)自身已經(jīng)感染了病毒。病毒會對磁盤進(jìn)行搜索，并判斷用戶的文件格式是否符合感染目標(biāo)，目前統(tǒng)計(jì)約114種文件作為病毒感染目標(biāo)，然后對其進(jìn)行加密，并在桌面上顯示上面提到的敲詐的信息。

2. 利用NGTP方案來進(jìn)行檢測和防御

2.1防病毒軟件對此病毒查殺情況

截止到2015-1-23，僅僅有1/3的防病毒軟件能夠進(jìn)行查殺，大部分防病毒軟件不能進(jìn)行查殺。

2.2 NGTP 解決方案場景一(TAC+IPS+信譽(yù)系統(tǒng))

NGTP團(tuán)隊(duì)在獲得這個樣本后進(jìn)行分析，TAC已經(jīng)能夠檢測并告警這個病毒樣本。

另外，通過TAC虛擬執(zhí)行進(jìn)行行為分析，檢測出病毒后續(xù)的下載動作，并把這些動態(tài)的下載URL，形成信譽(yù)系統(tǒng)，通過本地ESPC信譽(yù)交換，IPS獲得這些惡意的URL信譽(yù)后，在后續(xù)的防護(hù)進(jìn)行阻斷。

2.3 NGTP場景二(TAC+SEG)

在這一場景下，我們用郵件安全網(wǎng)關(guān)SEG和TAC的組合進(jìn)行檢測和防御。首先，TAC把文件檢測后的結(jié)果發(fā)回給SEG，SEG會丟棄這封含有病毒的郵件，而不再向郵件服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)了NGTP的防護(hù)目的。