標籤:

如何看待最近爆發的CTB Locker病毒?

01-21

首次現身中國的CTB-Locker「比特幣敲詐者」病毒分析

加密原理是什麼?

如何有效防範?

如果中毒有無可能破解?

上面都是談的恢復,對於這類病毒,還是預防比較可行一些:千萬不要好奇打開郵件附件(非預期郵件不打開),就這麼簡單。

根據【首次現身中國的CTB-Locker「比特幣敲詐者」病毒分析 ? 奇虎360技術博客】的分析,是【根據計算機啟動時間,文件創建,修改,訪問時間等信息為隨機種子生成KEY。對文件ZLIB壓縮之後進行了AES加密】。

因為是AES加密,而AES演算法的強度目前還很高,密鑰又是基於多項的隨機值,應該沒有直接破解的可能。

基本上短時間的,

aes加密+加鹽再+時間差.aes並不是什麼先進的加密演算法.關鍵在於他加了什麼鹽.

如果是絕對隨機鹽,很麻煩,如果只是普通加鹽,則可以通過任意一組明/密文,算出全局結果.

但從卡巴斯基放出的工具來看,只集成了幾百個key.基本上可以斷定是某種有規律的"偽隨機鹽"

為什麼提到時間差?

因為作者很巧妙的給出72小時的限定時間,除非你有一個大規模的集群,或者超級計算機,否則以目前計算機的運算能力,靠撞車式的猜解,在72小時內根本不可能破解.

破解方法從白帽子的角度,給出一種大膽猜想.

既然加鹽,相信在作者的某台伺服器上,是存有解密key(或key生成演算法的),而這種演算法有90%可能是在線的(在伺服器端運行)有超過70%可能,和作者的收款網站有直接聯繫.,如果對作者收款網站進行滲透,效率應該比猜解高得多.

這種基於加密技術進行數位勒索的木馬,只可防,不可治。

自我加密是對抗數位訛詐的不二法門 - ibuick,高手進階 - 知乎專欄

根據如何移除CTB Locker ransomware「比特幣敲詐者」病毒介紹的內容,可見如果沒有在一開始攔截住該病毒,後期所談到的查殺都是無意義的,因為破壞已經產生了,而且暫時沒有辦法解密這類文件

自瀉。

···············································································

1.CTB-Locker主要通過郵件傳播,然後會有一個類似是傳真發錯郵箱的假象,讓人打開了他的附件就中毒。

2.打開之後會看到一個傳真文件,打開他發現,真的是一個傳真文件,不過看不懂,所以就扔在一邊了,其實它還在後台默默的運行著。

3.他會悄然的識別電腦中的各種照片文檔等加密,等下次開機的時候就會出現勒索畫面。

4.在此之後,你所有文件[文檔]就變成了7位隨機結尾的加密文件[文檔],將後綴名更改成原後綴仍然無法正常打開。

5.剩下的解決辦法就是:付錢/重裝系統。

6.裝系統的話會把病毒刷掉,但是這些文件會一直保持這樣的後綴,直到CTB-Locer被破解之後。

7.上面那個界面點擊NEXT之後的一個畫面上,作者會給出一個BTC錢包的匯款地址,並且標出需要支付的比特幣數量,該樣本是勒索3個BTC。

8.目前CTB-locker還在不斷升級,勒索的比特幣也從3個成了8個。

9.支付的時候會有一定的手續費,所以多支付了0.0007比特幣。

10.大約在一個半小時之後那個畫面產生變化,開始解密運算。

11.在支付完到解密的過程中需要保持網路的暢通及電腦開機狀態,最好關閉殺軟。

12.解密的過程非常的長,不過起碼作者遵守約定為文檔解密。

13.比特幣換算:1比特幣 = 1500+人民幣

溫馨提醒:利用虛擬機測試CTB-Locker是行不通的!虛擬機無法觸發CTB-Locker;首先,CTB-Locker遠程注入惡意代碼到svchost.exe中,接著,判斷中毒用戶是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虛擬機進程,目的也是為了阻礙分析,增加觸發病毒代碼的條件。

樣本下載:

CTB-Locker樣本.zip (21.59 KB, 下載次數: 418) 【解壓密碼:fanhualuomu】

勒索界面(1)

勒索界面(2)

連黑客都和 ISIS 學壞了,以後人家說自己是黑客,怎麼聽怎麼覺得是在說自己是綠教徒。

我只能說想要暴力破解密鑰來進行解密基本是不可能的,現在的強加密機制都是基於各種困難問題進行設計,這些困難問題(如大數分解、離散對數等)以現有的計算能力,在你有生之年都不可能計算出來密鑰。如果說你能破解這個密碼演算法,那無論在學術界還是工業界,你都會轟動這個世界。因此,唯一能恢復的方法就是從攻擊者那裡獲取私鑰,只能走兩條路:(1)乖乖交贖金,按照綁架你重要文檔的攻擊者說的去做;(2)報警,讓FBI來幫你找到攻擊者,進而獲得其手中的私鑰。當然,跟現實中的綁架案很相似,報警是要冒一定風險的,萬一攻擊者憤怒了,把所有密鑰全都銷毀,那神仙也難救了。

詳細分析參考博文「淺談加密這把雙刃劍」

推薦閱讀:

電腦開機啟動就出現這樣的問題Error C:Googlegoogleupdate.a3x,?
我想放棄360殺毒,在經濟的前提下,怎麼保護和維護電腦?
阿爾巴尼亞病毒是怎麼來的?
163郵箱頻繁收到大量「系統退信」,怎麼回事啊?

TAG:網路安全 | 黑客Hacker | 計算機病毒 | 白帽黑客WhiteHat |