首次现身中国的CTB-Locker“比特币敲诈者”病毒分析 -
| 关注黑客与极客
首次现身中国的CTB-Locker“比特币敲诈者”病毒分析
共460607人围观
，发现 52 个不明物体
??昨天开始，国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密，同时提示受害者在96小时内支付8比特币（约1万元人民币）赎金，否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国，受害者大多是企业高管等商务人士。
??这是国内首次出现敲诈比特币的病毒攻击，该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点，对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。????
??一、摘要??
??CTB-Locker病毒通过邮件附件传播，如果用户不小心运行，用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息，要求向病毒作者支付8比特币赎金才能够解密还原文件内容。?
??由于获取赎金支付信息需要在Tor网络中进行， Tor网络是随机匿名并且加密传输的，比特币交易也是完全匿名的，这使得病毒作者难以被追踪到，受害者支付赎金的难度也不小。一旦中招，对大多数人来说只能尝试找回被加密文件“以前的版本”，但前提是系统开启了卷影复制或Windows备份服务，否则很难找回文件。??
??二、样本信息??
??MD5：a2fe69a12eae13bfbf8260
??传播量：估算全国范围内&1000??
??受影响的操作系统： Windows系统??
??样本图标：??
??病毒名称：Malware.QVM20.GEN??
??截获时间：4:01:02??
??查杀时间：4:01:02（QVM人工智能引擎在首次捕获样本时即可查杀）??
??三、技术细节??
??样本攻击流程如下：
??第一步：通过邮件附件发??送病毒样本??
??病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE文件。??
??循环解密，写入动态申请的内存中??
??解密完成，跳转到动态申请的内存中，执行解密后的代码??
??动态获得系统API??
??再次申请内存，将自身解密，内存中动态展开第三步所用病毒??
??第三步:??
??从获取自身资源，释放并执行RTF文件，让用户误以为打开了文档??
??RTF文件内容如下：??
????????接下来,样本尝试访问，判断用户是否可以联网。??????
??如果可以联网，则会循环读取下载列表，下载加密文件????
????下载列表如下：（部分链接已无法访问）??
??/tmp/pack.tar.gz??
??/assets/pack.tar.gz??
??/tmp/pack.tar.gz??
??http://voigt-its.de/fit/pack.tar.gz??
??/assets/pack.tar.gz??
??http://jbmsystem.fr/jb/pack.tar.gz??
??http://pleiade.asso.fr/piwigotest/pack.tar.gz??
??http://scolapedia.org/histoiredesarts/pack.tar.gz??
??通过解密pack.tar.gz得到第四步所用的病毒。??
??第四步：??
??利用之前相似的方式，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍分析。??
??代码还原后，可以在内存中得到第五步所需的病毒。??
??最终的敲诈??功能在第五步中实现。
??运行后会将自身拷贝到temp目录中，并且创建计划任务，实现自启动。
??远程注入恶意代码到svchost.exe中??????
??判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒代码的条件。??
??遍历用户所有文件，包括硬盘、U盘、网络共享等。??
??判断用户的文件格式是否符合感染目标，共114种文件作为病毒感染目标??
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
??根据计算机启动时间,文件创建，修改，访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:??
??最终修改受害者壁纸，显示勒索信息：??
[作者/360QVM团队，转载请注明来自FreeBuf黑客与极客（）]
67篇文章等级：7级
360安全卫士官方账号
我写的；）
'"&biubiubiu
8个比特币只值1万元RMB了 :-(
老子1个T的种子啊
是。360啥都第一，妙射也第一。
解决方案呢？
必须您当前尚未登录。
必须（保密）
360安全卫士官方账号
分享每日精选文章分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 厂商已经修复漏洞并主动公开，细节向公众公开
简要描述：
我擦，求个闪电，狗哥求你了、满足我一下吧
个、十、百、千、万、十万、百万
数了好几遍，吓死宝宝了、
详细说明：
ip:112.124.7.74
漏洞证明：
不敢都打开啊~~~~
修复方案：
版权声明：转载请注明来源 @
厂商回应：
危害等级：低
漏洞Rank：5
确认时间： 14:01
厂商回复：
确认此漏洞。感谢白帽。运维同学已经被赏一丈红。
该redis存储的是公开的市场数据，这些数据可以通过公开api获得，不包含公司和用户的私人数据。但是此漏洞可能会引发更深层次的漏洞。
最新状态：
：已经修复
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(少于3人评价):
登陆后才能进行评分
这要有闪电 我直播吃翔
@xtnnd ...
闪电呢。。
前段时间收集过全网的redis。。。。。,直接发出来是不是会有闪电，哈哈
@我是壮丁 屌屌的、我知道我不会有闪电的、哈哈
吓死宝宝了！
@我是壮丁 吓死人
运维同学已经被赏一丈红.....
哈哈哈，标题党勿怪~~~
运维同学已经被赏一丈红.....
运维同学这日子过的
这要有闪电 我直播吃翔
好可怜的运维同学。
我觉得redis + getshell + 内网渗透 + 无数敏感信息，这才能换个闪电。
@宝宝 @海绵宝宝 @子非海绵宝宝 听说你们都被吓死了！
@_Thorns 看了下找不到路径就算了,反正我只是来刷redis的
@myhalo 但是此漏洞可能会引发更深层次的漏洞 没有shell啊
@xsser 没有
运维已经被开除了
运维坐等被炒
哈哈哈哈一丈红好评！
运维同学已经被赏一丈红。
哈哈，一丈红
那一仗红。。
来怀念下 当初我咋就不shell一下呢 哭晕在厕所。。。
@我是壮丁 哥哥你rank显示错了把，居然是10
@Me_Fortune 看我签名你就懂了，我就是10rank
登录后才能发表评论，请先您所在的位置: 首页&
& 比特币交易网FXBTC亏损倒闭 域名无法访问
比特币交易网FXBTC亏损倒闭 域名无法访问
　易名中国（）5月12日讯，据悉，国内比特币交易平台FXBTC（），疑似亏损倒闭，已从本月10日零点停止运营，截至目前仍无法打开。部分用户表示未将资金提出，而被指责“携款跑路”的FXBTC，官网域名尴尬。图：疑似FXBTC停运公告　　据网上一份疑似FXBTC公司曾在5月2日发布的《停运公告》称，由于近期央行的政策，FXBTC受到前所未有的压力，包括无法充值提现，导致无法正常运营，决策困难等方面的问题。面临央行的长期封锁，目前公司无能为力，历经长期亏损，最终决定停止运营FXBTC，为了方便用户提现，将开放网站至日。　　对于此公告，有多位用户表示，之前并没有看到相关公告，所以仍有资金未提出；而也有知情人士透露，在该网站关闭之前的几天里，所有客户资金和虚拟货币均无法提现，客服回复是系统原因。通过易名中国域名whois系统查询，域名注册于2012年9月，该网站现已无法访问。　　据了解，FXBTC是国内一家小型比特币交易所，成立于2013年11月，该网站曾发生过大量比特币被盗事件，FXBTC通过补偿用户平息此事。而3月中旬，央行向各分支机构下发了一份名为《关于进一步加强比特币风险防范工作的通知》，进一步加剧了FXBTC交易平台的“灭亡”。　　随着银行渠道的停止，比特币负面事件频发。很多比特币交易平台都是苦苦挣扎，名存实亡。今年2月，全球最大的比特币交易平台Mt.Gox比特币被盗，损失约4.7亿美元，随后传出已申请破产保护；3月份，比特币银行Flexcoin在攻击中丢失了896枚比特币，价值36.5万英镑，该公司承认没有足够资金来弥补用户，因此将被迫关闭。而面对“倒闭潮”下的悲剧Bitcoin交易平台，比特币又将如何求监管求生存？　　　　易名中国资讯专稿，转载请注明来源。
责任编辑：
分享到新浪微博
蔡文胜、姚劲波等人都是域名投资行...
伴随互联网和电子商务的不断发展，...
三拼也很给力
期待死我了
也是他们的， 盛传是几百万美金买回的。
是呀，短就是好，三声母
露宜姿可不可以效仿
都是拼音、字母
闽ICP备号-1 增值电信业务经营许可证[闽B2-] 文网文[0
Copyright (C) [易名中国] 厦门易名科技股份有限公司 eName Technology Co.,Ltd.莱特币导航
| 183,405 views | 71 Replies
莱特币Litecoin是继比特币之后最有潜力的一个山寨币，矿工都说btc是金，ltc是银。
Litecoin(LTC) 发布于日,是目前市值最高的山寨币。和btc相比,ltc速度更快,平均2.5分钟一个块,15分钟就可以完成6次确认。另外ltc的数量也是btc的四倍,总数为8400w枚。目前lt……
| 9,048 views | 2 Replies
有关法币价值的最早研究是三百多年前的法国劳氏，他创建了人类历史上第一个央行，并试图用纸钞替代黄金铸币。虽然他的实验因纸钞大量超发而失败了，但他的真实票据理论（real bills doctrine）却成了近代央行发行货币的理论基石之一。
真实票据理论是说，只要纸钞的背后……
| 6,939 views | No Reply
纽约交易所（NYSE）,一个在全球结算系统中的领军企业，今日宣布旗下子公司纽约证券交易所，向Coinbase进行了少量投资。Coinbase是一个集钱包和平台的优秀数字货币公司，有着210万的钱包使用量和3万8的招商及7000个开发人员。
Coinbase于2012年在洛杉矶创建，为用户提供……
| 6,667 views | 1 Reply
早在去年 11 月，坊间就有钱包服务商Coinbase正在筹备C轮融资的传言。近日该公司博客公布，已完成 7500 万美元 C 轮融资，融资金额是与比特币相关的公司有史以来最大的一次，刷新了
创造的单笔 3050 万美元的记录。该公司目前融资总额超过 1 亿美元。
这轮融资……
| 9,254 views | No Reply
“中国互联网金融论坛”于日在北京举行。图为中国人民银行调查统计司副司长徐诺金。
由零壹财经和金融博物馆联合主办的“中国互联网金融论坛”于日在北京举行。中国人民银行[微博]调查统计司副司长徐诺金在谈到对互联网金融的监管时表示，要改变现在保护投资……
莱特币工具
莱特炒币23群莱特币矿工群
/* <![CDATA[ */
var O_Connor = {"admin_ajax_url":"http:\/\/\/wp-admin\/admin-ajax.php","login_falied":"\u767b\u5f55\u9519\u8bef\uff0c\u\u540d\u4e0e\u5bc6\ud\ud\u3002","user_exists":"\u\u540d\u5df2\u5b58\u5728\uff0c\u8bf7\u\u\u","email_exists":"\u90ae\u7bb1\u5df2\u5b58\u5728\uff0c\u8bf7\u\u\u","facebook_login_fail":"\u4e24\u6b21\u5bc6\ud\u4e00\u81f4\uff0c\u8bf7\u91cd\u65b0\u8f93\u","no_avatar_error":"\u62b1\u6b49\uff0c\u8be5\u90ae\u7bb1\u6ca1\u6709\u8bbe\u7f6egravatar\u5934\u50cf\uff0c\u65e0\u6cd5\u6ce8\u518c\u3002","reset_password_success":"\u5bc6\u\u91cd\u7f6e\uff0c\u8bf7\u6ce8\u610f\u67e5\u6536\u90ae\u4ef6\u3002","reset_password_error":"\u90ae\u7bb1\uc\u4e0d\u5b58\ud\u561b\uff0c\u8bf7\u4e0d\ue\u7b11\u3002","is_mobile":"","ajaxurl":"http:\/\/\/","um_ajaxurl":"http:\/\/\/wp-admin\/admin-ajax.php","niceSearchform":"