首次在中国出现的CTB-Locker“比特币勒索者”病毒分析

3. 技术细节

示例攻击流程如下：

第 1 步：将病毒样本作为电子邮件附件发送

第二步：

病毒使用大量垃圾指令阻碍样本分析，最终在内存中扩展第三步使用的PE文件。

循环解密，写入动态请求的内存

解密完成后，跳转到动态申请的内存，执行解密后的代码

动态获取系统API

再次申请内存，自己解密，在内存中动态扩展第三步用到的病毒

第三步：

从获取自身资源，释放执行RTF文件，让用户误以为文档被打开

RTF文件内容如下：

接下来，示例尝试访问 windowsupdate.microsoft.com 以确定用户是否可以连接到 Internet。

如果可以联网，会循环读取下载列表，下载加密文件

下载列表如下：（部分链接已无法访问）

解密pack.tar.gz得到第四步用到的病毒。

第四步：

使用和之前类似的方法，动态解密自己，在内存中展开一个新的PE文件，并将这个文件打包，目的还是为了阻碍分析。

代码还原后，内存中就可以得到第五步需要的病毒了。

第五步：

最后的勒索功能在第五步实现。

运行后会把自己复制到temp目录下，并创建定时任务实现自启动。

远程向 svchost.exe 注入恶意代码

判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程的目的是阻碍分析，增加触发病毒代码的条件。

遍历用户的所有文件，包括硬盘、U盘、网络共享等。

判断用户文件格式是否符合感染目标，共114个文件作为病毒感染目标

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

海湾，混合比特币病毒，cdr，crw，dcr，dng比特币病毒，eps，erf，indd，kdc，mef，mrw，nef，nrw，odb，odm，

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu, bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根据电脑启动时间、文件创建、修改、访问时间等信息，为随机种子生成KEY。 ZLIB压缩文件后进行AES加密：

最后修改受害者的壁纸以显示勒索信息：