一直在国外流行的勒索软件在前几天“不远万里来到了中国”。当然它并不是来救死扶伤的而是将你的文件加密,然后要求你访问指定的服务器并支付一定比特币来解密它们。虽然从分析结果看也许作者并没有针对中国,但还是不少人“中枪了”。这类软件主要是通过邮件进行传播,通常伪装成订单之类的邮件来欺骗受害者运行。
FreeBuf科普:CTB-Locker敲诈者
昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。点我查看更多
核心原理详解
360对最近发现的勒索软件CTB-Locker做了分析,算得上很详细,但是有几个问题还不够详细。
比如样本使用了AES加密,那么KEY是怎么生成的? 加密后的文件是什么结构?有没有标志?为什么样本在离线的时候能够解密5个文件?我们带着这些疑问做了深入的分析。本文中我们将分享一下我们分析的结果,如有不正确还请各位大牛指正。
首先我们要说的是Downloader下载下来的CTB-Locker首先会在%All UsersApplication Data%目录下释放随机名的文件,该文件是加密的。这个文件相当于一个配置文件。后面提到的主公钥(master key)以及加密后的磁盘路径,加密的文件个数等都会保留在这个文件中。
这个配置文件很重要。接下来才是将自身复制到临时目录,然后添加计划任务运行自拷贝的文件,接着注入到svchost进程中。在svchost进程中完成对磁盘上的文件加密。下面我们就针对前面提到的几个疑问做出分析。
1. AES的KEY是如何生成的?
在360的报告中提到是“根据计算机启动时间,文件创建,修改,访问时间等信息为随机种子生成KEY”,同时报告中还给出了截图。但是事实上截图没有给全,还要经过一个过程才能计算出来。实际上它是使用了Elliptic curve Diffie-Hellman(ECDH)算法生成了AES加密的KEY。我们也对此结论做了验证。大致流程可以描述如下(详细可参考卡巴的分析[1]):
