4月30日,安天接到用户提供的恶意邮件附件,据该用户称已将该附件提交至第三方开放沙箱,并怀疑其专门攻击wps办公系统及窃取信息。由于该样本可能与国产办公软件环境相关,引发了部分用户的关注,希望安天能尽快给予帮助确认,经过安天CERT分析确认,该样本确实是恶意代码,但并对WPS办公环境并无针对性。经安天CERT分析确认该样本为CTB-Locker(敲诈者)。
CTB-Locker 又名“比特币敲诈者”,该病毒正在大规模攻击国内用户,实际上早在2013就出现过Cryptolocker,在 2014年出现了CTB-Locker。CTB-Locker主要通过邮件传播,然后会有一个类似是传真发错邮箱的假象,引诱用户打开附件。该病毒运行后会出现勒索界面,让用户支付比特币进行解密文档、图片等文件。用户可以选择购买比特币,比特币是一种虚拟货币,由于其通过复杂的大量的计算方法可得,使其价格昂贵,该病毒使用3个比特币(690美元=4279.035人民币元)方能解密文档。目前还没有相应可行的解决方案,所以您只有两个选择:支付或者重做系统!
class="fancybox_content" href="/uploads/images/2016/152/litEjCFOHc7s.jpg?rand=34"
图 1:勒索界面
二、 样本工作流程
样本通过社工邮件进行传播,邮件附件是ZIP压缩包,解压后是个SCR扩展名的样本文件。该样本运行后,会在临时目录释放一个CAB包裹文件,解压为一个RTF文档并打开(此时RTF文件所关联的应用程序将会启动,比如:Word或WPS)。然后,该样本在后台延时下载CTB-Locker文件,并在解密后执行CTB-Locker勒索程序。
class="fancybox_content" href="/uploads/images/2016/197/liwu4VCv09eic.jpg?rand=137"
图表 2:样本流程
其中SCR文件在后台进行CTB-Locker文件下载时,尝试多个URL下载,有些失效,URL列表如下:
class="fancybox_content" href="/uploads/images/2016/248/liL9GMuhjIII.jpg?rand=146"
其中finam.net域名连接成功,如下图所示,成功下载run.jpg文件,该文件是个加密的PE文件。通过SCR主文件进行解密执行较终的CTB-Locker程序。
class="fancybox_content" href="/uploads/images/2016/225/li8rTUgH2BAw.jpg?rand=147"
图 3:连接域名
class="fancybox_content" href="/uploads/images/2016/207/li4D7x3DNBOQI.jpg?rand=75"
图4:加密文件
CTB-Locker 该恶意代码首先将下图以居中方式设为桌面背景。
class="fancybox_content" href="/uploads/images/2016/7/li7hgCSaaV3pM.jpg?rand=94"
图 5:桌面背景
CTB-Locker会把电脑内的所有图片、文档、压缩文件、音频和视频等文件进行加密,加密文件的扩展名为:oinpgca。如图所示:
class="fancybox_content" href="/uploads/images/2016/104/li7upTt0Dbmc.jpg?rand=21"
图 6:加密文档
将文档加密后,CTB-Locker打开该勒索界面,界面提示用户在96个小时内支付3个比特币来解密文档,另外界面提示可以免费解密5个文件。
class="fancybox_content" href="/uploads/images/2016/126/liqVCXsT7oRso.jpg?rand=88"
class="fancybox_content" href="/uploads/images/2016/16/liH3vqwFb1aNA.jpg?rand=153"
图7:勒索界面
整个恶意代码的攻击流程:
class="fancybox_content" href="/uploads/images/2016/137/lisAkgk436y2.jpg?rand=44"
图 8:CTB-Locker攻击流程
附:安天高级威胁鉴定器——“追影系统”的分析报告:
class="fancybox_content" href="/uploads/images/2016/189/liuD1W0rDZing.jpg?rand=31"
三、 防御方案
3.1 禁止执行邮件附件中的可执行文件
在接收邮件时,不要轻易打开邮件附件。如果邮件附件为包裹文件时,使用压缩软件如WINRAR打开,将文件解压后,查看解压后的文件是否为可执行文件,如果是,则需要提交到反病毒厂商确认后,尝试在虚拟机中运行。
3.2 定期进行重要数据的备份
使用加密软件定期加密备份重要文档文件。并将备份文件后缀名修改为自定义的非常见后缀名。
小提示:如果您收到邮件标题为以下类似标题。请不要点击附件!
[Issue 35078504EBA94667] Account #59859805294 Temporarily Locked
四、 总结
经过此次事件来看,由于软、硬件环境高度复杂和恶意代码行为逻辑的错综复杂,沙箱系统很难做到完美和精确,很多时候还是需要人工分析作为辅助判别手段。
附录一:参考资料
[1] 新浪微博
http://m.weibo.cn/1259420200/3837075683929815/weixin?wm=3333_2001&from=groupmessage&sourcetype=weixin&isappinstalled=0
[2] 安天高级威胁鉴定器——“追影系统”的分析报告
http://www.antiy.com/response/CTB-Locker-by-antiyzhuiying.pdf
附录二:关于安天
安天是专业的下一代安全检测引擎研发企业,安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力,并被超过十家以上的著名安全厂商所采用,全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎。安天获得了2013年度AV-TEST年度移动设备较佳保护奖。依托引擎、沙箱和后台体系的能力,安天进一步为行业企业提供有自身特色的基于流量的反APT解决方案。
关于反病毒引擎更多信息请访问:http://www.antiy.com(中文)http://www.antiy.net(英文)
关于安天反APT相关产品更多信息请访问:http://www.antiy.cn
