勒索病毒
勒索病毒曾经出现引起过安全圈的关注。“CTB-Lock”勒索病毒是其中的代表之一,也是目标性极强的比特币敲诈者病毒。其传播途径主要是通过邮件进行扩散,中毒后会加密磁盘里的数据,并发送勒索信息,若不支付勒索费用,文件将会在95小时内被全部删除。
绿盟紧急响应团队曾经收到了不少客户的咨询,发现自身的内部网络中收到了该类型的病毒,并提供了恶意样本。
1. 病毒样本的原理
1) 传播方式
CTB-Locker敲诈者病毒的隐秘性非常高,主要是通过邮件的方式进行传播,邮件的文件格式类似如下:
2) 感染方式
该病毒附件是一个zip的压缩包,里面的带有一个.scr的文件。如下图:
在点击之后会在打开该文件之后是一个Downloader,病毒会先判断本机能否连接Windows Update站点,如果可以上网,则会自动向几个特殊的域名进行下载操作,并在根目录下生成一个.cab的文件,并自动执行,同时打开.cab中的rtf文件。如下图:
这时,用户以为自己仅打开了一个普通的文件,其实自身已经感染了病毒。病毒会对磁盘进行搜索,并判断用户的文件格式是否符合感染目标,目前统计约114种文件作为病毒感染目标,然后对其进行加密,并在桌面上显示上面提到的敲诈的信息。
2. 利用NGTP方案来进行检测和防御
2.1防病毒软件对此病毒查杀情况
截止到2015-1-23,仅仅有1/3的防病毒软件能够进行查杀,大部分防病毒软件不能进行查杀。
2.2 NGTP 解决方案场景一(TAC+IPS+信誉系统)
NGTP团队在获得这个样本后进行分析,TAC已经能够检测并告警这个病毒样本。
另外,通过TAC虚拟执行进行行为分析,检测出病毒后续的下载动作,并把这些动态的下载URL,形成信誉系统,通过本地ESPC信誉交换,IPS获得这些恶意的URL信誉后,在后续的防护进行阻断。
2.3 NGTP场景二(TAC+SEG)
在这一场景下,我们用邮件安全网关SEG和TAC的组合进行检测和防御。首先,TAC把文件检测后的结果发回给SEG,SEG会丢弃这封含有病毒的邮件,而不再向邮件服务器进行转发,实现了NGTP的防护目的。
