CTB-Locker敲诈者病毒下载器分析

于 2015-05-16 14:00:05 发布 2696 收藏
分类专栏: Windows病毒分析 Windows病毒分析 文章标签: CTB-Locker 敲诈者病毒 Win32.Trojan.Ctb-loc 病毒分析 勒索者
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQ1084283172/article/details/45767973
版权

一、 样本基本信息


样本名称:927354529512.scr

样本大小:110592 字节

病毒名称:Win32.Trojan.Ctb-locker.Auto

样本MD5值:3A6D7E551C132AC4C40D95394938F266

 

二、 样本脱壳


该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的,和前面提到的情况一样,病毒依然在程序的代码指令中加入了比较多的垃圾指令,有可能是敲诈者病毒的心态有点急了。4月份出现的敲诈者病毒没之前的病毒的加固措施做得好,但是病毒脱壳的方法和前面博客提到的一样,依然是在函数VirtualProtect和 VirtualProtectEx的地方下断点,实现一键手动Dump脱壳。

 

三、 样本行为预览


1.   在临时文件目录创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wujip.cab,其中.cab文件的名称是随机产生的,解压提取该.cab文件的.rtf文件并修改.rtf文件名称与当前模块的名称相同,然后运行该.rtf文件迷惑用户。




2.   解密字符串生成下载病毒的网址,与下载病毒的网址进行网络连接,获取需要的网络数据,基于这些网络数据在系统临时文件目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下生成guroga.exe病毒文件,并且.exe病毒文件的名称是随机产生的,然后运行guroga.exe病毒文件并删除guroga.exe病毒文件,加密用户文档等资料的正是下载的guroga.exe病毒文件。




3.   下载病毒的网址,如下:


lasertek.com.sg/icon/run.jpg

shaneproject.org.uk/docs/run.jpg

vesterlin.eu/stats/run.jpg

empuriadata.es/run.jpg

puntocan.com/derutamadre/run.jpg

finam.net/run.jpg

lars-laursen.dk/joomla/run.jpg

malagadetectives.es/images/run.jpg




4.    CTB-Locker敲诈者病毒下载器连外网下载病毒的行为是循环进行的,只要有一次连外网下载加密用户文档等资料的病毒文件成功并运行,它就会退出进程,如果没有下载加密病毒成功,它继续连外网进行病毒的下载行为。在调试的过程发现, CTB-Locker敲诈者病毒下载器下载到系统临时文件目录的病毒文件目前发现的有3种分别是981kb、743kb、851kb,从CTB-Locker敲诈者病毒出现以来,这3个加密用户文档等资料的病毒文件是没有变化的,只是名称是随机的。




四、 样本行为具体分析


1.   获取系统的临时文件路径以及获取当前模块中的"DATA"类型的资源。




2.   在系统临时文件路径下创建名称随机的.cab文件如:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zoviqagyh.cab。




3.   调用函数SetupIterateCabinetW解压.cab文件,获取.rtf文件并运行该与当前模块同名的.rtf文件。




4.   创建互斥量"xgheaouo",防止下载病毒的行为重复进行。




5.   解密内存字符串得到下载加密病毒的网址,连接外网下载加密用户文档资料的病毒文件的数据。








6.   获取到病毒文件的数据以后,在系统临时文件目录下,创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zivyke.exe加密用户资料的病毒文件,运行该下载的病毒文件zivyke.exe以后,删除该下载的加密病毒文件zivyke.exe。








五、 在线病毒扫描的


样本的扫描结果:http://r.virscan.org/report/0a8f8426e8a5a1d40134c0ecb968d519


由于 CTB-Locker敲诈者病毒下载器文件的代码指令中有很多的垃圾指令的干扰,导致这种病毒的特征码的提取有难度,因此,在线病毒扫描的结果中发现,有很多的病毒引擎是没有识别出该病毒样本的,卡巴斯基都没能鉴别出。值得一提的是,当初CTB-Locker敲诈者病毒第一次出现的时候,没有一个病毒引擎捕捉到该病毒的出现。





六、  CTB-Locker敲诈者病毒的防范


(1)重要数据做好日常备份,如开启windows备份、采用企业网盘等;
(2)及时更新安全软件防范病毒,防止文件被误删;
(3)为保护数据安全,每年进行一次常规网络安全培训,增强安全意识。如建议大家不要点击陌生人发来的 exe、 scr 等可执行程序、链接、邮件,用邮箱随意注册网上的账号等;
(4)协防建议---网络出口边界处:考虑到中毒后,会自动连接外网IP下载恶意木马,建议在网络边界安全设备开启URL信誉库做拦截。这样即使中了,局域网内的恶意软件影响程序会减轻,达到通过设备日志实现事件追溯的效果


转载请保留博客地址:http://blog.csdn.net/qq1084283172/article/details/45767973





Fly20141201
关注
  • 0
    点赞
  • 0
    收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctb-api-java
04-28
接收访问码 如果要使用mod,则需要通过client_id和client secret授权应用程序(有关更多详细信息,请参阅: )。 目前,您可以通过将电子邮件请求发送至来接收client_id和client_secret Creatubbles Web服务API Java库,用于协助Java应用程序和Creatubbles Web Services API之间的交互 请查看以查看对Web服务的调用和响应的结构。 为这个项目做贡献 该项目使用gradle。 要设置它,只需在克隆的文件夹中克隆并打开一个终端,然后为Eclipse运行gradlew eclipse或为IntelliJ IDEA运行gradlew idea 。 这将生成一个项目,然后可以将其导入到IDE中。
一例Trickbot家族js下载分析
最新发布
WaitForSingleObject(YOU,INFINITE)
12-10 287
这是一个宏病毒,内嵌了一个jse脚本,是一个PE下载分析重点是去混沌,第一次分析病毒,学到了不少东西。
一款名为VirLock敲诈者病毒来袭
weixin_33794672的博客
02-03 103
近日,360互联网安全中心发布病毒警报称, 一款名为VirLock敲诈者病毒开始在国内出现,此病毒与刚传入中国的CTB-Locker敲诈者病毒如出一辙,均通过强锁电脑里的文档、图片等重要资料,借机敲诈用户赎金,否则文件将永久无法打开。360安全专家建议网民使用360安全卫士、360杀毒进行拦截防御,保护个人电脑安全。VirLock敲诈者病毒最早在国外流行,与CTB-Loc...
WannaCry、CTB-Locker、Cerber样本
03-02
资源中是WannaCry、CTB-Locker、Cerber样本,解压后将后缀名改为exe即可运行,一定要在虚拟机中运行,且虚拟机一定要与宿主机隔离、必须断网,否则会造成不可逆转的损失。 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责。
针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析
Fly20141201. 的专栏
05-13 3475
一、事件回放 网络管理员在服务上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键
超同步(CTB)GS交流伺服主轴驱动使用说明书
03-20
介绍了关于超同步(CTB)GS交流伺服主轴驱动使用说明书的详细说明,提供驱动的技术资料的下载
浏览主页被篡改劫持怎么办、主页被劫持的解决办法
seven9711的博客
01-02 2840
中招过程是为了测试一些报毒的软件,主动退出杀毒软件导致,所以还请各位网友在测试软件时需谨慎,最好是能在虚拟系统或沙盒之类的环境下测试! 描述一下被劫持的情况,打开360极速浏览时首先会在地址栏出现类似123so.sinaapp.com这种网址(很快一闪过),接着网址就会跳转至2345或duba之类的恶意推广网址。 此手段很特殊,网上所找的方法基本都试过,全部无用! 重点开始了!打开任务管理查看进程里是否有locker32.exe和locker64.exe,如有请下载PCHunter free(手动杀毒工
CTB-LOCKER敲诈者病毒下载脱壳之样本1
墨鱼菜鸡
05-06 28
一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载部分和文档加密部分。病毒作者将下载程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如...
监测-病毒篇(病毒的了解和认识)
The code way of kinnisoy
04-10 460
一、计算机病毒 定义:指编制或在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制一组计算机指令或者程序代码 满足的条件: 必须能自我执行,通常将自己的代码置于另一个程序的执行路径中。 必须能自我复制。 此外,病毒还有很强的感染性,很长的潜伏性。 恶性病毒:损坏程序、删除文件、或重新格式化硬盘来破坏计算机的病毒。 良性病毒:不损坏计算机,而只是复制自身,通...
“攻击WPS样本”实为敲诈者
weixin_34183910的博客
09-01 152
一、 概述 4月30日,安天接到用户提供的恶意邮件附件,据该用户称已将该附件提交至第三方开放沙箱,并怀疑其专门攻击wps办公系统及窃取信息。由于该样本可能与国产办公软件环境相关,引发了部分用户的关注,希望安天能尽快给予帮助确认,经过安天CERT分析确认,该样本确实是恶意代码,但并对WPS办公环境并无针对性。经安天CERT分析确认该样本为CTB-Locke...
中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?
雷锋网
11-14 2123
导语:勒索木马在天朝已经屡见不鲜,为了让更多无辜读者完美躲避勒索木马的袭击,360反病毒小组负责人、拥有长达9年恶意软件查杀经验的王亮来解密勒索木马。 熟悉雷锋网(公众号:雷锋网)的读者可能知道,一个月前,我雷好几个读者爆料: 本来一路心情愉快地去上班,开机却遭遇突发异常状况——昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意。结果等了一会,突
CTB地形切片生成
10-10
该资源可以将tif文件切割为cesium可用的.terrain数据,具体使用方式可以参考:https://blog.csdn.net/u013821237/article/details/82999006
FBI曾悬赏300万抓“CTB-Locker勒索病毒制造者
weixin_33874713的博客
07-04 72
近日,一种名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播,该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。 反病毒专家称,目前国内外尚无法破解该病毒。 据外媒报道,该病毒的始作俑者为美国联邦调查局(FBI)最高网络罪犯赏金通缉犯俄罗斯籍黑客波格契夫,目前仍未归案。 中毒电脑无法打开文件 4月27日,在北...
中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?| 硬创公开课...
weixin_34082695的博客
08-09 456
熟悉雷锋网的读者可能知道,一个月前,我雷好几个读者爆料: 本来一路心情愉快地去上班,开机却遭遇突发异常状况——昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意。结果等了一会,突然浏览自动打开,弹出了一个勒索界面,告诉我所有的文件都已经被加密了,只有点击链接用比特币交付赎金之后才能拿到解密的密钥。 有几个读者反应是这样的...
勒索病毒的原理和防范机制研究
yrhych123的博客
09-23 8138
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结 什么是勒索病毒? 【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告
m0_37442062的博客
08-09 693
目录 0x01 第一季度的数据 0x02 重大安全事件概述 Ⅰ有目标性的攻击 ①BlackEnergy2/3 ②Poseidon ③Hacking Team ④Operation BLOCKBASTER ⑤针对医院的攻击 Ⅱ网络犯罪活动 ①Adwind(RAT) ②Banking threats银行威胁 ③FakeCERT ④Bangladesh 0x03...
揭开勒索软件的真面目
weixin_33842304的博客
09-01 306
一、前言 2013年9月,戴尔公司的SecureWorks威胁应对部门(CTU)发现了一种名为“CryptoLocker”的勒索软件,它以邮件附件形式分发,感染计算机并加密近百种格式文件(包括电子表格、数据库、图片等),向用户勒索300美元或300欧元。据统计,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统。[1] 2014年8月,《纽...
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 5922
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
一个DDOS木马后门病毒分析
Fly20141201. 的专栏
10-21 5829
一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c   二、样本行为 0x1.打开与当前病毒进程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly20141201

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值