勒索病毒背景

近期，安全圈被勒索病毒“CTB-Locker”刷屏，“CTB-Locker”是目標性極強的比特幣敲詐者病毒，來勢洶洶。這個病毒是通過郵件傳播，中毒后會加密磁盤里的數據，并發送勒索信息，若不支付勒索費用，文件將會在95小時內被全部刪除。

綠盟科技技術團隊NSTRT也收到了不少客戶的咨詢，發現自身的內部網絡中收到了該類型的病毒，并提供了惡意樣本。目前根據反饋的用戶統計，收到該病毒的主要是企業、金融機構的高層管理人員。

圖：病毒執行成功后，在桌面出現的勒索信息

1.病毒樣本的原理

1）傳播方式

CTB-Locker病毒的隱秘性非常高，主要是通過郵件的方式進行傳播，郵件的文件格式類似下圖：

2）感染方式

該病毒附件是一個zip的壓縮包，里面的帶有一個.scr的文件。如下圖：

在點擊打開該文件之后是一個Downloader，病毒會先判斷本機能否連接Windows Update站點，如果可以上網，則會自動向幾個特殊的域名進行下載操作，并在根目錄下生成一個.cab的文件，并自動執行，同時打開.cab中的rtf文件。如下圖：

這時，用戶以為僅打開了一個普通的文件，其實自身已經感染了病毒。病毒會對磁盤進行搜索，并判斷用戶的文件格式是否符合感染目標（目前統計約114種文件為病毒感染目標），然后對其進行加密，并在桌面上顯示敲詐信息。

綠盟新一代威脅防護方案（NGTP）處理勒索病毒

根據綠盟科技威脅響應中心對病毒樣本的分析，從攻擊鏈條上看，這個樣本與典型的APT攻擊有很多相似的地方。比如，都是通過郵件釣魚進行感染，然后在黑客預先設置的服務器上下載有效的病毒代碼，釋放后進行感染，最后出現勒索畫面。

下圖是APT攻擊的典型過程，CBT-Locker在軟件下載和C&C連接兩個環節上跟APT攻擊十分相近。

綠盟科技新一代威脅防護方案（NGTP）的組件能夠有效檢測和防御這類威脅。

1.NGTP的模塊

綠盟科技NGTP解決方案，包含以下幾個模塊“

1)ESPP：綠盟全球信譽云系統，提供安全信譽

2)TAC：威脅分析中心，對已知和未知的安全威脅進行分析，并上報到綠盟全球信譽云

3)NIPS：網絡入侵防護系統，能夠對網絡層及Web攻擊等進行檢測和防護

4)SEG：郵件安全網關，對病毒郵件和垃圾郵件進行過濾

2.TAC與NIPS聯動方案

當郵件進入到企業內網，TAC設備對郵件協議進行文件還原，通過本地的沙箱系統進行虛擬執行，分析出惡意病毒進行外聯下載的行為。TAC把分析出的結果上報到綠盟全球信譽云系統，形成惡意軟件和URL信譽。當本地的NIPS設備進行信譽更新后，即可對這個惡意軟件進行報警和阻斷。

3.TAC與SEG聯動方案

TAC與SEG的聯動方案能夠更進一步進行病毒清除。由于這個病毒是通過郵件進行傳播的，郵件安全網關在信譽進行升級后，能夠通過文件信譽識別出郵件中的附件是否為惡意軟件，并根據結果對病毒郵件進行隔離或者直接刪除。這種處理方式，使得病毒根本沒有機會對內網的終端進行感染。