好友
阅读权限40
听众
最后登录1970-1-1
|
繁华落幕
发表于 2015-2-5 19:52
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 繁华落幕 于 2017-3-27 14:23 编辑
1.CTB-Locker主要通过邮件传播,然后会有一个类似是传真发错邮箱的假象,让人打开了他的附件就中毒。
邮箱收到的类似有着传真的邮件;附件在下面
2.打开之后会看到一个传真文件,打开他发现,真的是一个传真文件,不过看不懂,所以就扔在一边了,其实它还在后台默默的运行着。
你看不到我...[传真]
![你看不到我...[传真]](https://attach.52pojie.cn/forum/201502/05/193505m4pkzq4knllkj466.jpg "你看不到我...[传真]")
3.他会悄然的识别电脑中的各种照片文档等加密,等下次开机的时候就会出现勒索画面。
4.在此之后,你所有文件[文档]就变成了7位随机结尾的加密文件[文档],将后缀名更改成原后缀仍然无法正常打开。
CTB-Locker加密后的文档丶文本
5.剩下的解决办法就是:付钱/重装系统。
6.装系统的话会把病毒刷掉,但是这些文件会一直保持这样的后缀,直到CTB-Locer被破解之后。
7.上面那个界面点击NEXT之后的一个画面上,作者会给出一个BTC钱包的汇款地址,并且标出需要支付的比特币数量,该样本是勒索3个BTC。
CTB-Locker病毒实体,绝对萌萌哒
8.目前CTB-locker还在不断升级,勒索的比特币也从3个成了8个。
9.支付的时候会有一定的手续费,所以多支付了0.0007比特币。
CTB-Locker敲诈的汇款网址及支付金额
10.大约在一个半小时之后那个画面产生变化,开始解密运算。
CTB-Locker验证汇款成功,解密文档
11.在支付完到解密的过程中需要保持网络的畅通及电脑开机状态,最好关闭杀软。
12.解密的过程非常的长,不过起码作者遵守约定为文档解密。
么么哒,终于解密好了~
13.比特币换算:1比特币 = 1500+人民币
温馨提醒:利用虚拟机测试CTB-Locker是行不通的!虚拟机无法触发CTB-Locker;首先,CTB-Locker远程注入恶意代码到svchost.exe中,接着,判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程,目的也是为了阻碍分析,增加触发病毒代码的条件。
CTB-Locker样本属性
样本下载:
CTB-Locker样本.zip
(21.59 KB, 下载次数: 449)
【解压密码:fanhualuomu】 |
-
勒索界面(1)
-
勒索界面(2)
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
|
发表于 2015-2-6 23:32
发表于 2015-2-5 20:36
...但不确保那些病毒爱好者和程序破解者不会...他们中招的概率可挺大的...要是OD破解,中招概率更大,一不小心就执行了恶意代码...
等正式版出来我艾特你ヾ(。`Д′。)
