一直在國外流行的勒索軟件在前幾天“不遠萬里來到了中國”��。當然它并不是來救死扶傷的而是將你的文件加密��,然后要求你訪問指定的服務器并支付一定比特幣來解密它們。雖然從分析結果看也許作者并沒有針對中國��,但還是不少人“中槍了”��。這類軟件主要是通過郵件進行傳播��,通常偽裝成訂單之類的郵件來欺騙受害者運行。
FreeBuf科普:CTB-Locker敲詐者
昨天開始��,國內有眾多網友反饋中了CTB-Locker敲詐者病毒, 電腦里的文檔��、圖片等重要資料被該病毒加密��,同時提示受害者在96小時內支付8比特幣(約1萬元人民幣)贖金��,否則文件將永久無法打開��。這是CTB-Locker敲詐者病毒首次現身中國��,受害者大多是企業(yè)高管等商務人士��。點我查看更多
核心原理詳解
360對最近發(fā)現的勒索軟件CTB-Locker做了分析��,算得上很詳細��,但是有幾個問題還不夠詳細��。
比如樣本使用了AES加密��,那么KEY是怎么生成的? 加密后的文件是什么結構��?有沒有標志��?為什么樣本在離線的時候能夠解密5個文件?我們帶著這些疑問做了深入的分析��。本文中我們將分享一下我們分析的結果��,如有不正確還請各位大牛指正��。
首先我們要說的是Downloader下載下來的CTB-Locker首先會在%All UsersApplication Data%目錄下釋放隨機名的文件��,該文件是加密的��。這個文件相當于一個配置文件��。后面提到的主公鑰(master key)以及加密后的磁盤路徑��,加密的文件個數等都會保留在這個文件中��。
這個配置文件很重要��。接下來才是將自身復制到臨時目錄��,然后添加計劃任務運行自拷貝的文件��,接著注入到svchost進程中��。在svchost進程中完成對磁盤上的文件加密��。下面我們就針對前面提到的幾個疑問做出分析��。
1. AES的KEY是如何生成的?
在360的報告中提到是“根據計算機啟動時間,文件創(chuàng)建��,修改��,訪問時間等信息為隨機種子生成KEY”,同時報告中還給出了截圖��。但是事實上截圖沒有給全,還要經過一個過程才能計算出來��。實際上它是使用了Elliptic curve Diffie-Hellman(ECDH)算法生成了AES加密的KEY��。我們也對此結論做了驗證��。大致流程可以描述如下(詳細可參考卡巴的分析[1]):
