绿盟科技NGTP解决方案 轻松应对勒索病毒CBT-Locker

勒索病毒背景

近期，安全圈被勒索病毒“CTB-Locker”刷屏，“CTB-Locker”是目标性极强的比特币敲诈者病毒，来势汹汹。这个病毒是通过邮件传播，中毒后会加密磁盘里的数据，并发送勒索信息，若不支付勒索费用，文件将会在95小时内被全部删除。

绿盟科技技术团队NSTRT也收到了不少客户的咨询，发现自身的内部网络中收到了该类型的病毒，并提供了恶意样本。目前根据反馈的用户统计，收到该病毒的主要是企业、金融机构的高层管理人员。

图：病毒执行成功后，在桌面出现的勒索信息。

1. 病毒样本的原理

1） 传播方式

CTB-Locker病毒的隐秘性非常高，主要是通过邮件的方式进行传播，邮件的文件格式类似下图：

2） 感染方式

该病毒附件是一个zip的压缩包，里面的带有一个.scr的文件。如下图：

在点击打开该文件之后是一个Downloader，病毒会先判断本机能否连接Windows Update站点，如果可以上网，则会自动向几个特殊的域名进行下载操作，并在根目录下生成一个.cab的文件，并自动执行，同时打开.cab中的rtf文件。如下图：

这时，用户以为仅打开了一个普通的文件，其实自身已经感染了病毒。病毒会对磁盘进行搜索，并判断用户的文件格式是否符合感染目标（目前统计约114种文件为病毒感染目标），然后对其进行加密，并在桌面上显示敲诈信息。

绿盟新一代威胁防护方案（NGTP）处理勒索病毒

根据绿盟科技威胁响应中心对病毒样本的分析，从攻击链条上看，这个样本与典型的APT攻击有很多相似的地方。比如，都是通过邮件钓鱼进行感染，然后在黑客预先设置的服务器上下载有效的病毒代码，释放后进行感染，最后出现勒索画面。

下图是APT攻击的典型过程，CBT-Locker在软件下载和C&C连接两个环节上跟APT攻击十分相近。

绿盟科技新一代威胁防护方案（NGTP）的组件能够有效检测和防御这类威胁。

1. NGTP的模块

绿盟科技NGTP解决方案，包含以下几个模块“

1) ESPP：绿盟全球信誉云系统，提供安全信誉

2) TAC：威胁分析中心，对已知和未知的安全威胁进行分析，并上报到绿盟全球信誉云

3) NIPS：网络入侵防护系统，能够对网络层及Web攻击等进行检测和防护

4) SEG：邮件安全网关，对病毒邮件和垃圾邮件进行过滤

2. TAC与NIPS联动方案

当邮件进入到企业内网，TAC设备对邮件协议进行文件还原，通过本地的沙箱系统进行虚拟执行，分析出恶意病毒进行外联下载的行为。TAC把分析出的结果上报到绿盟全球信誉云系统，形成恶意软件和URL信誉。当本地的NIPS设备进行信誉更新后，即可对这个恶意软件进行报警和阻断。

3. TAC与SEG联动方案

TAC与SEG的联动方案能够更进一步进行病毒清除。由于这个病毒是通过邮件进行传播的，邮件安全网关在信誉进行升级后，能够通过文件信誉识别出邮件中的附件是否为恶意软件，并根据结果对病毒邮件进行隔离或者直接删除。这种处理方式，使得病毒根本没有机会对内网的终端进行感染。

关于绿盟科技新一代威胁防御方案

绿盟科技新一代威胁防御方案（NGTP），是专门针对零日攻击，僵尸网络等为主的高级持续性威胁（APT）的解决方案。方案中集成了检测、防护、分析及信誉等多个模块，实现了“一点发现未知威胁，全球防御实时生效”的防护效果。