勒索病毒

勒索病毒曾經(jīng)出現(xiàn)引起過(guò)安全圈的關(guān)注。“CTB-Lock”勒索病毒是其中的代表之一，也是目標(biāo)性極強(qiáng)的比特幣敲詐者病毒。其傳播途徑主要是通過(guò)郵件進(jìn)行擴(kuò)散，中毒后會(huì)加密磁盤里的數(shù)據(jù)，并發(fā)送勒索信息，若不支付勒索費(fèi)用，文件將會(huì)在95小時(shí)內(nèi)被全部刪除。

綠盟緊急響應(yīng)團(tuán)隊(duì)曾經(jīng)收到了不少客戶的咨詢，發(fā)現(xiàn)自身的內(nèi)部網(wǎng)絡(luò)中收到了該類型的病毒，并提供了惡意樣本。

1. 病毒樣本的原理

1) 傳播方式

CTB-Locker敲詐者病毒的隱秘性非常高，主要是通過(guò)郵件的方式進(jìn)行傳播，郵件的文件格式類似如下：

2) 感染方式

該病毒附件是一個(gè)zip的壓縮包，里面的帶有一個(gè).scr的文件。如下圖：

在點(diǎn)擊之后會(huì)在打開該文件之后是一個(gè)Downloader，病毒會(huì)先判斷本機(jī)能否連接Windows Update站點(diǎn)，如果可以上網(wǎng)，則會(huì)自動(dòng)向幾個(gè)特殊的域名進(jìn)行下載操作，并在根目錄下生成一個(gè).cab的文件，并自動(dòng)執(zhí)行，同時(shí)打開.cab中的rtf文件。如下圖：

這時(shí)，用戶以為自己僅打開了一個(gè)普通的文件，其實(shí)自身已經(jīng)感染了病毒。病毒會(huì)對(duì)磁盤進(jìn)行搜索，并判斷用戶的文件格式是否符合感染目標(biāo)，目前統(tǒng)計(jì)約114種文件作為病毒感染目標(biāo)，然后對(duì)其進(jìn)行加密，并在桌面上顯示上面提到的敲詐的信息。

2. 利用NGTP方案來(lái)進(jìn)行檢測(cè)和防御

2.1防病毒軟件對(duì)此病毒查殺情況

截止到2015-1-23，僅僅有1/3的防病毒軟件能夠進(jìn)行查殺，大部分防病毒軟件不能進(jìn)行查殺。

2.2 NGTP 解決方案場(chǎng)景一(TAC+IPS+信譽(yù)系統(tǒng))

NGTP團(tuán)隊(duì)在獲得這個(gè)樣本后進(jìn)行分析，TAC已經(jīng)能夠檢測(cè)并告警這個(gè)病毒樣本。

另外，通過(guò)TAC虛擬執(zhí)行進(jìn)行行為分析，檢測(cè)出病毒后續(xù)的下載動(dòng)作，并把這些動(dòng)態(tài)的下載URL，形成信譽(yù)系統(tǒng)，通過(guò)本地ESPC信譽(yù)交換，IPS獲得這些惡意的URL信譽(yù)后，在后續(xù)的防護(hù)進(jìn)行阻斷。

2.3 NGTP場(chǎng)景二(TAC+SEG)

在這一場(chǎng)景下，我們用郵件安全網(wǎng)關(guān)SEG和TAC的組合進(jìn)行檢測(cè)和防御。首先，TAC把文件檢測(cè)后的結(jié)果發(fā)回給SEG，SEG會(huì)丟棄這封含有病毒的郵件，而不再向郵件服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)了NGTP的防護(hù)目的。