頻道欄目
首頁 > 資訊 > 殺毒防毒 > 正文

"攻擊WPS樣本"實為敲詐者

15-06-08        來源:[db:作者]  
收藏   我要投稿

1. 概述

 4月30日,安天接到用戶提供的惡意郵件附件,據該用戶稱已將該附件提交至第三方開放沙箱,并懷疑其專門攻擊wps辦公系統及竊取信息。由于該樣本可能與國產辦公軟件環境相關,引發了部分用戶的關注,希望安天能盡快給予幫助確認,經過安天CERT分析確認,該樣本確實是惡意代碼,但并對WPS辦公環境并無針對性。經安天CERT分析確認該樣本為CTB-Locker(敲詐者)。

CTB-Locker 又名"比特幣敲詐者",該病毒正在大規模攻擊國內用戶,實際上早在2013就出現過Cryptolocker,在 2014年出現了CTB-Locker。CTB-Locker主要通過郵件傳播,然后會有一個類似是傳真發錯郵箱的假象,引誘用戶打開附件。該病毒運行后會出現勒索界面,讓用戶支付比特幣進行解密文檔、圖片等文件。用戶可以選擇購買比特幣,比特幣是一種虛擬貨幣,由于其通過復雜的大量的計算方法可得,使其價格昂貴,該病毒使用3個比特幣(690美元=4279.035人民幣元)方能解密文檔。目前還沒有相應可行的解決方案,所以您只有兩個選擇:支付或者重做系統!

圖表 1:勒索界面

2. 樣本工作流程

樣本通過社工郵件進行傳播,郵件附件是ZIP壓縮包,解壓后是個SCR擴展名的樣本文件。該樣本運行后,會在臨時目錄釋放一個CAB包裹文件,解壓為一個RTF文檔并打開(此時RTF文件所關聯的應用程序將會啟動,比如:Word或WPS)。然后,該樣本在后臺延時下載CTB-Locker文件,并在解密后執行CTB-Locker勒索程序。

 

圖表 2:樣本流程

其中SCR文件在后臺進行CTB-Locker文件下載時,嘗試多個URL下載,有些失效,URL列表如下:

 
嘗試下載URL
IP
國籍
lasertek.com.sg
119.81.64.59
新加坡(失效)
empuriadata.es
91.121.104.100
法國(失效)
shaneproject.org.uk
46.30.212.236
丹麥(失效)
finam.net
195.32.69.75
意大利 (成功)
lars-laursen.dk
195.128.174.141
丹麥(失效)
malagadetectives.es
217.76.132.193
西班牙(失效)
puntocan.com
148.251.142.65
德國(失效)

其中finam.net域名連接成功,如下圖所示,成功下載run.jpg文件,該文件是個加密的PE文件。通過SCR主文件進行解密執行最終的CTB-Locker程序。

圖表 3:連接域名

圖表 4:加密文件

CTB-Locker 該惡意代碼首先將下圖以居中方式設為桌面背景。

圖表 5:桌面背景

CTB-Locker會把電腦內的所有圖片、文檔、壓縮文件、音頻和視頻等文件進行加密,加密文件的擴展名為:oinpgca。如圖所示:

圖表 6:加密文檔

將文檔加密后,CTB-Locker打開該勒索界面,界面提示用戶在96個小時內支付3個比特幣來解密文檔,另外界面提示可以免費解密5個文件。

圖表 7:勒索界面

整個惡意代碼的攻擊流程:

 

圖表 8:CTB-Locker攻擊流程

 

附:安天惡意代碼自動追蹤系統——"追影系統"的分析報告: 整個惡意代碼的攻擊流程:

 

3. 防御方案

一、禁止執行郵件附件中的可執行文件
在接收郵件時,不要輕易打開郵件附件。如果郵件附件為包裹文件時,使用壓縮軟件如WINRAR打開,將文件解壓后,查看解壓后的文件是否為可執行文件,如果是,則需要提交到反病毒廠商確認后,嘗試在虛擬機中運行。
二、定期進行重要數據的備份
使用加密軟件定期加密備份重要文檔文件。并將備份文件后綴名修改為自定義的非常見后綴名。
小提示:如果您收到郵件標題為以下類似標題。請不要點擊附件!
[Issue 35078504EBA94667] Account #59859805294 Temporarily Locked 

3. 總結

經過此次事件來看,由于軟、硬件環境高度復雜和惡意代碼行為邏輯的錯綜復雜,沙箱系統很難做到完美和精確,很多時候還是需要人工分析作為輔助判別手段。

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片