一直在國(guó)外流行的勒索軟件在前幾天“不遠(yuǎn)萬里來到了中國(guó)”。當(dāng)然它并不是來救死扶傷的而是將你的文件加密����,然后要求你訪問指定的服務(wù)器并支付一定比特幣來解密它們。雖然從分析結(jié)果看也許作者并沒有針對(duì)中國(guó)����,但還是不少人“中槍了”。這類軟件主要是通過郵件進(jìn)行傳播����,通常偽裝成訂單之類的郵件來欺騙受害者運(yùn)行。
FreeBuf科普:CTB-Locker敲詐者
昨天開始,國(guó)內(nèi)有眾多網(wǎng)友反饋中了CTB-Locker敲詐者病毒, 電腦里的文檔����、圖片等重要資料被該病毒加密,同時(shí)提示受害者在96小時(shí)內(nèi)支付8比特幣(約1萬元人民幣)贖金����,否則文件將永久無法打開。這是CTB-Locker敲詐者病毒首次現(xiàn)身中國(guó)����,受害者大多是企業(yè)高管等商務(wù)人士。點(diǎn)我查看更多
核心原理詳解
360對(duì)最近發(fā)現(xiàn)的勒索軟件CTB-Locker做了分析����,算得上很詳細(xì),但是有幾個(gè)問題還不夠詳細(xì)����。
比如樣本使用了AES加密,那么KEY是怎么生成的? 加密后的文件是什么結(jié)構(gòu)����?有沒有標(biāo)志?為什么樣本在離線的時(shí)候能夠解密5個(gè)文件����?我們帶著這些疑問做了深入的分析����。本文中我們將分享一下我們分析的結(jié)果����,如有不正確還請(qǐng)各位大牛指正。
首先我們要說的是Downloader下載下來的CTB-Locker首先會(huì)在%All UsersApplication Data%目錄下釋放隨機(jī)名的文件����,該文件是加密的。這個(gè)文件相當(dāng)于一個(gè)配置文件����。后面提到的主公鑰(master key)以及加密后的磁盤路徑,加密的文件個(gè)數(shù)等都會(huì)保留在這個(gè)文件中����。
這個(gè)配置文件很重要����。接下來才是將自身復(fù)制到臨時(shí)目錄,然后添加計(jì)劃任務(wù)運(yùn)行自拷貝的文件����,接著注入到svchost進(jìn)程中����。在svchost進(jìn)程中完成對(duì)磁盤上的文件加密����。下面我們就針對(duì)前面提到的幾個(gè)疑問做出分析。
1. AES的KEY是如何生成的?
在360的報(bào)告中提到是“根據(jù)計(jì)算機(jī)啟動(dòng)時(shí)間,文件創(chuàng)建����,修改,訪問時(shí)間等信息為隨機(jī)種子生成KEY”,同時(shí)報(bào)告中還給出了截圖����。但是事實(shí)上截圖沒有給全,還要經(jīng)過一個(gè)過程才能計(jì)算出來。實(shí)際上它是使用了Elliptic curve Diffie-Hellman(ECDH)算法生成了AES加密的KEY����。我們也對(duì)此結(jié)論做了驗(yàn)證。大致流程可以描述如下(詳細(xì)可參考卡巴的分析[1]):
