勒索病毒背景

近期，安全圈被勒索病毒“CTB-Locker”刷屏，“CTB-Locker”是目標性極強的比特幣敲詐者病毒，來勢洶洶。這個病毒是通過郵件傳播，中毒后會加密磁盤里的數(shù)據(jù)，并發(fā)送勒索信息，若不支付勒索費用，文件將會在95小時內(nèi)被全部刪除。

綠盟科技技術(shù)團隊NSTRT也收到了不少客戶的咨詢，發(fā)現(xiàn)自身的內(nèi)部網(wǎng)絡(luò)中收到了該類型的病毒，并提供了惡意樣本。目前根據(jù)反饋的用戶統(tǒng)計，收到該病毒的主要是企業(yè)、金融機構(gòu)的高層管理人員。

圖：病毒執(zhí)行成功后，在桌面出現(xiàn)的勒索信息

1.病毒樣本的原理

1）傳播方式

CTB-Locker病毒的隱秘性非常高，主要是通過郵件的方式進行傳播，郵件的文件格式類似下圖：

2）感染方式

該病毒附件是一個zip的壓縮包，里面的帶有一個.scr的文件。如下圖：

在點擊打開該文件之后是一個Downloader，病毒會先判斷本機能否連接Windows Update站點，如果可以上網(wǎng)，則會自動向幾個特殊的域名進行下載操作，并在根目錄下生成一個.cab的文件，并自動執(zhí)行，同時打開.cab中的rtf文件。如下圖：

這時，用戶以為僅打開了一個普通的文件，其實自身已經(jīng)感染了病毒。病毒會對磁盤進行搜索，并判斷用戶的文件格式是否符合感染目標（目前統(tǒng)計約114種文件為病毒感染目標），然后對其進行加密，并在桌面上顯示敲詐信息。

綠盟新一代威脅防護方案（NGTP）處理勒索病毒

根據(jù)綠盟科技威脅響應中心對病毒樣本的分析，從攻擊鏈條上看，這個樣本與典型的APT攻擊有很多相似的地方。比如，都是通過郵件釣魚進行感染，然后在黑客預先設(shè)置的服務(wù)器上下載有效的病毒代碼，釋放后進行感染，最后出現(xiàn)勒索畫面。

下圖是APT攻擊的典型過程，CBT-Locker在軟件下載和C&C連接兩個環(huán)節(jié)上跟APT攻擊十分相近。

綠盟科技新一代威脅防護方案（NGTP）的組件能夠有效檢測和防御這類威脅。

1.NGTP的模塊

綠盟科技NGTP解決方案，包含以下幾個模塊“

1)ESPP：綠盟全球信譽云系統(tǒng)，提供安全信譽

2)TAC：威脅分析中心，對已知和未知的安全威脅進行分析，并上報到綠盟全球信譽云

3)NIPS：網(wǎng)絡(luò)入侵防護系統(tǒng)，能夠?qū)W(wǎng)絡(luò)層及Web攻擊等進行檢測和防護

4)SEG：郵件安全網(wǎng)關(guān)，對病毒郵件和垃圾郵件進行過濾

2.TAC與NIPS聯(lián)動方案

當郵件進入到企業(yè)內(nèi)網(wǎng)，TAC設(shè)備對郵件協(xié)議進行文件還原，通過本地的沙箱系統(tǒng)進行虛擬執(zhí)行，分析出惡意病毒進行外聯(lián)下載的行為。TAC把分析出的結(jié)果上報到綠盟全球信譽云系統(tǒng)，形成惡意軟件和URL信譽。當本地的NIPS設(shè)備進行信譽更新后，即可對這個惡意軟件進行報警和阻斷。

3.TAC與SEG聯(lián)動方案

TAC與SEG的聯(lián)動方案能夠更進一步進行病毒清除。由于這個病毒是通過郵件進行傳播的，郵件安全網(wǎng)關(guān)在信譽進行升級后，能夠通過文件信譽識別出郵件中的附件是否為惡意軟件，并根據(jù)結(jié)果對病毒郵件進行隔離或者直接刪除。這種處理方式，使得病毒根本沒有機會對內(nèi)網(wǎng)的終端進行感染。