安全領域在不斷發(fā)展變化：一旦某個威脅問世，安全研究人員就立馬剖析該惡意軟件，形成基于特征的檢測規(guī)則，以便查出、最好挫敗感染。

這個屢試不爽的方法自幾個競爭對手在1987年發(fā)布第一批公開記錄的反病毒軟件以來就存在了。雖然大多數(shù)病毒在載荷(或破壞程度)方面影響/范圍有限，但過去幾年已發(fā)生了很大的變化，尤其是日益依賴“始終聯(lián)通”的數(shù)據(jù)通信系統(tǒng)。

惡意軟件的開發(fā)者欣然接受了這個始終聯(lián)通的理論，并且利用它來為其病毒增添一種活力，那樣它們不僅輕巧、隱蔽，而且更容易改動(形成規(guī)避檢測的變種)，而且在一些情況下，可以像普通軟件那樣進行更新，為未來的針對性攻擊增添特性豐富的載荷。

CTB-Locker到底是什么東東?

正如CryptoWall(及之前的版本CryptoLocker)惡意軟件表明的那樣，對安全漏洞和危害性可能很大的載荷而言，標準繼續(xù)提升。CTB-Locker在同時感染企業(yè)和消費者的工作站，眼下出現(xiàn)了一股日益盛行的潮流：加密數(shù)據(jù)的勒索軟件目前在互聯(lián)網(wǎng)上興風作浪，而CTB-Locker是下一個代表。

一旦被感染了該病毒，它會掃描計算機，根據(jù)文件類型加密數(shù)據(jù)，針對企業(yè)環(huán)境中使用的許多類型的文件，比如.PDF、.XLS和.PPT等等。一旦加密了文件，該病毒就會創(chuàng)建一個.TXT和.HTML文件，附有的指示表明了如何獲得解密密鑰，只有支付規(guī)定的贖金后才能拿到密鑰。解密密鑰最多在96小時內有效;一旦超過了這個時間，服務器就會刪除解密密鑰，那樣文件仍然處于加密狀態(tài)。

它來自何處?

目前起源仍然不明。不過，可能一個更值得關注的問題是：它去向何處?

CTB-Locker在網(wǎng)上肆虐已有一段時日;感染被控制在世界上特定的地區(qū)，不過越來越多的感染正慢慢擴散到法國和西班牙，這表明這個惡意軟件在全球范圍內呈泛濫態(tài)勢。

它是如何感染計算機的?

感染主要可以追溯到含有惡意軟件的垃圾郵件(作為.ZIP文件中的附件)。該附件被打開后，它就會在%Temp%文件夾中創(chuàng)建一個副本。一旦運行，它就會將惡意代碼注入到Windows計算機的svchost.exe進程，這反過來會為%Temp%文件夾中的該文件建立一個計劃任務，系統(tǒng)一啟動就運行。

此后創(chuàng)建互斥鎖(也就是允許共享資源運行，但并非同時運行的程序線程)，確保該惡意軟件在任何特定時間只有一個實例會運行。注入到svchost.exe中的這段代碼也是根據(jù)文件類型對計算機上數(shù)據(jù)加密的同一個進程。

我如何知道自己的計算機被感染了?

與CryptoWall一樣，有幾個跡象表明CTB-Locker是否已感染了你系統(tǒng)的數(shù)據(jù)。

•試圖打開某些文件時，比如.xls或.pdf，文件可以用正確的程序來運行，但是數(shù)據(jù)可能出現(xiàn)錯亂，或者沒有正確顯示。另外，試圖打開被感染的文件時會跳出一個錯誤信息。

•在被CTB-Locker感染、文件已被加密的一些情況下，文件名含有的后綴會帶有隨機生成的一系列字符;比如說，filename.pdf會被改名成filename.pdf.siudfh。

•最常見的跡象就是在含有被CTB-Locker加密的文件的My Documents目錄的root出現(xiàn)兩個文件。文件名隨機生成，就像上面添加到所有加密文件尾部的后綴那樣。

RANDOM_FILENAME.txt

RANDOM_FILENAME.html

此外，剛剛成功驗證后會出現(xiàn)贖金屏幕，顯示一條警告信息，表明該計算機受到了CTB-Locker的危及;96小時倒計時已開始，必須及時支付贖金、獲得解密密鑰，方可解密數(shù)據(jù)。

采取包含在.HTML文件中的步驟之后，指示會要求最終用戶安裝Tor，以便與病毒開發(fā)者的服務器進行通信，并出示贖金已付(用比特幣來支付)的證據(jù)。一旦付款得到證實，解密密鑰就會提供給最終用戶，用來解密加密的文件。

此外，CTB-Locker警告屏幕讓最終用戶可以免費解密五個文件，證實解密密鑰確實有效;一旦贖金已付，最終用戶就可以重新使用其數(shù)據(jù)。#p#

如果計算機被感染了CTB-Locker，有哪些辦法?

證實確實感染了CTB-Locker的辦法是，使用內置到所提供的Tor URL的上傳機制，在任何加密文件上試一下。如果文件沒有被解密，那么可能是另一種病毒感染了計算機，或者是檢索文件的時間限制已到期。在這兩種情況下，請閱讀下列章節(jié)。

如果文件成功解密，你也答應了支付贖金，就要考慮幾個方面(我寫的下文涉及CryptoWall，但給出的建議同樣適用于CTB-Locker)：

“支付贖金本身是一種方法。遺憾的是，贖金必須用比特幣來支付，這種數(shù)字貨幣用來購買貨品和服務，類似美元。然而，由于缺少監(jiān)管和普遍沒有得到接受，比特幣是一個小眾市場，不如美元來得常見。”

增添購買難度的是，許多將美元兌換成比特幣的交易所對購買較大數(shù)額的比特幣有所限制。另外還有更嚴格的公司政策，進一步限制了積累必要的比特幣數(shù)額以支付贖金。許多這些變化的出現(xiàn)是CryptoWall病毒直接導致的，我們已知道一些交易所取消了交易，限制涉嫌使用其服務來支付贖金的帳戶。

雖然有難度，但仍可以在交易所開設帳戶，開始籌資以購買比特幣，目的是為了在指定的時間內支付贖金。要是你既沒有時間，又缺乏技術，另一個可行的辦法就是尋求在這方面有經(jīng)驗的IT顧問提供的服務。他們也許能夠幫助你全面地恢復數(shù)據(jù)。”

我無力/不會支付贖金。那么還有其他什么辦法可以恢復數(shù)據(jù)嗎?

確定到底要不要支付贖金是個人選擇問題，這歸結為丟失數(shù)據(jù)的內在價值。雖然付錢換取解密密鑰可能是比聘請顧問或派IT成員來處理數(shù)據(jù)恢復更簡單、有時更省錢的辦法，但對某些受監(jiān)管的機構或者時間限制已到期的受害者而言，可能別無選擇。

幸好，最終用戶可以采取一些措施，不用花錢就能看看其文件能不能恢復。要認識到這是個很大的前提條件;大多數(shù)情況下結果是不付贖金就丟失數(shù)據(jù);果真在指定時間內付款的那些人能夠通過使用用于解密的私有密鑰來恢復數(shù)據(jù)。

有了這樣的免責聲明在先，恢復文件的最有效方法就是使用備份。如果你的文件之前定期備份起來，將備份硬盤連接到?jīng)]有被感染的計算機上，檢查你的文件;要是文件在上面，又沒有受到感染，你就可以清除被感染計算機上的CTB-Locker，可以重新接上硬盤恢復數(shù)據(jù)。

如果有基于云的備份，你也許能夠先給計算機殺毒，然后從云端恢復你的數(shù)據(jù)，這具體視服務提供商而定。一些云服務(比如Dropbox)將數(shù)據(jù)的本地副本存儲在主機上;在這種情況下，大多數(shù)云服務提供了文件版本控制功能，作為一種額外的保護機制，防范文件被錯誤地改動。如果給計算機殺毒后使用這項功能，你應該能夠將文件的變化部分恢復到感染前的那個日期和時間。

要是根本就沒有未受影響的本地或云端備份，那么想恢復文件，唯一的機會就在于卷影拷貝服務(VSS)，恢復之前的文件版本，或系統(tǒng)還原。由于CTB-Locker感染的大部分過程是自動化，截至2015年1月的最新變種會執(zhí)行命令，刪除文件的卷影拷貝，所以有時候，命令因系統(tǒng)資源問題或死機而無法執(zhí)行。在這種情況下(不過很少見)，只要將系統(tǒng)還原到感染發(fā)生之前的時間和日期，就有可能恢復文件。請注意：這是例外，而不是慣例;每種情況需要個別處理。

另外，你可以試著使用ShadowExplorer，恢復一兩個文件試試，測試一下這個方法對你來說是否管用;要是管用，記得先清理計算機，清除任何感染，之后再設法恢復你的所有數(shù)據(jù)。要是系統(tǒng)沒有得到清理，它只會試圖再次加密文件――而這一回，它也許會成功地停止VSS、清空緩存內容。#p#

應該采取哪些步驟來保護計算機?

不管感染風險大小如何，有幾個步驟應該始終要采取。下列建議適用于計算機安全最佳實踐，而不是僅僅適用于某一種病毒或一小類惡意軟件。

應該安裝一款主動式反病毒軟件，擁有最新的病毒定義文件，而且在指定時間以及打開文件時實時掃描系統(tǒng)。此外，應該使用帶有主動掃描功能的惡意軟件掃描工具，并且用最新的定義文件來加以更新，始終不能禁用。

最后，每一款現(xiàn)代化的計算機操作系統(tǒng)都帶有個人防火墻;應該啟用并配置這個防火墻，那樣只有來自已知應用程序的流量才可以上傳/下載。其他所有流量、尤其是來自未知來源的流量都應該暫停下來，除非得到最終用戶的授權。

你的計算機得到保護后，我們再來說說安全面臨的最大威脅之一：用戶。對最終用戶進行安全教育對基于計算機的保護而言至關重要。畢竟，最終用戶也許能夠因為防火墻“太煩人”而禁用防火墻，或者因為“計算機運行速度太慢”而停止反病毒掃描。此外，最終用戶應該受到培訓，明白不點擊來歷不明的鏈接或安裝可疑軟件，因為如今的許多惡意軟件感染一開始都是企圖實施網(wǎng)絡釣魚的威脅，后來逐漸演變成轉發(fā)的垃圾電子郵件，撒下一張更大的網(wǎng)。

下一步，保護網(wǎng)絡安全，包括控制沒有必要訪問數(shù)據(jù)的用戶帳戶――既包括本地數(shù)據(jù)，又包括存儲在服務器共享區(qū)上的數(shù)據(jù)。以CTB-Locker為例，文件的加密程度受制于已登錄的最終用戶與其用戶帳戶關聯(lián)的訪問權限。在企業(yè)環(huán)境下，用戶幾乎總是使用權限有限的標準帳戶，他們擁有完全訪問權限的文件(也就是配置文件文件夾)才會受到文件加密的影響;然而，對于那些其帳戶對系統(tǒng)擁有管理員權限的最終用戶而言，所有文件都有可能被加密。如果安全管理員定期審查用戶和用戶組在網(wǎng)絡上的權限，以及在本地計算機上的權限，那最好不過了?；谧钚嘞拊瓌t的最佳實踐是良好的基礎。

合理的備份系統(tǒng)(最好擁有本地和基于云的備份計劃)將不遺余力地保護數(shù)據(jù)。即便系統(tǒng)受到了危及，你照樣能夠在需要時恢復自己的數(shù)據(jù)。

保護方面需要考慮的其他因素包括安全互聯(lián)網(wǎng)實踐。別訪問可疑網(wǎng)站，千萬不要點擊電子郵件里面所附的鏈接，絕對不要在聊天室、論壇、討論區(qū)或社交媒體網(wǎng)站上向任何人提供任何形式的個人身份信息!

最后，如果你是企業(yè)網(wǎng)絡上的系統(tǒng)管理員，或者使用隨處可得的應用程序(比如CryptoPrevent)來阻止CTB-Locker用來潛入你計算機的多條途徑，不妨考慮啟用軟件限制策略。

結束語

安全不是IT。安全不是組織或運營方面的要點。安全是每個人、每個地方都要積極主動地使用技術來溝通、發(fā)送/接收個人性質或工作性質的數(shù)據(jù)。

安全是每個人的責任。雖然這可能對于遏制惡意軟件的出現(xiàn)沒有太大的作用，但它對于確保惡意軟件感染并不導致數(shù)據(jù)丟失和破壞或者受到窺視、敏感信息泄密大有幫助。

英文：CTB-Locker virus: How to protect your systems, and what to do if infected