CTB-Locker病毒的危害及防范措施

安全领域在不断发展变化：一旦某个威胁问世，安全研究人员就立马剖析该恶意软件，形成基于特征的检测规则，以便查出、最好挫败感染。

这个屡试不爽的方法自几个竞争对手在1987年发布第一批公开记录的反病毒软件以来就存在了。虽然大多数病毒在载荷(或破坏程度)方面影响/范围有限，但过去几年已发生了很大的变化，尤其是日益依赖“始终联通”的数据通信系统。

恶意软件的开发者欣然接受了这个始终联通的理论，并且利用它来为其病毒增添一种活力，那样它们不仅轻巧、隐蔽，而且更容易改动(形成规避检测的变种)，而且在一些情况下，可以像普通软件那样进行更新，为未来的针对性攻击增添特性丰富的载荷。

CTB-Locker到底是什么东东?

正如CryptoWall(及之前的版本CryptoLocker)恶意软件表明的那样，对安全漏洞和危害性可能很大的载荷而言，标准继续提升。CTB-Locker在同时感染企业和消费者的工作站，眼下出现了一股日益盛行的潮流：加密数据的勒索软件目前在互联网上兴风作浪，而CTB-Locker是下一个代表。

一旦被感染了该病毒，它会扫描计算机，根据文件类型加密数据，针对企业环境中使用的许多类型的文件，比如.PDF、.XLS和.PPT等等。一旦加密了文件，该病毒就会创建一个.TXT和.HTML文件，附有的指示表明了如何获得解密密钥，只有支付规定的赎金后才能拿到密钥。解密密钥最多在96小时内有效;一旦超过了这个时间，服务器就会删除解密密钥，那样文件仍然处于加密状态。

它来自何处?

目前起源仍然不明。不过，可能一个更值得关注的问题是：它去向何处?

CTB-Locker在网上肆虐已有一段时日;感染被控制在世界上特定的地区，不过越来越多的感染正慢慢扩散到法国和西班牙，这表明这个恶意软件在全球范围内呈泛滥态势。

它是如何感染计算机的?

感染主要可以追溯到含有恶意软件的垃圾邮件(作为.ZIP文件中的附件)。该附件被打开后，它就会在%Temp%文件夹中创建一个副本。一旦运行，它就会将恶意代码注入到Windows计算机的svchost.exe进程，这反过来会为%Temp%文件夹中的该文件建立一个计划任务，系统一启动就运行。

此后创建互斥锁(也就是允许共享资源运行，但并非同时运行的程序线程)，确保该恶意软件在任何特定时间只有一个实例会运行。注入到svchost.exe中的这段代码也是根据文件类型对计算机上数据加密的同一个进程。

我如何知道自己的计算机被感染了?

与CryptoWall一样，有几个迹象表明CTB-Locker是否已感染了你系统的数据。

•试图打开某些文件时，比如.xls或.pdf，文件可以用正确的程序来运行，但是数据可能出现错乱，或者没有正确显示。另外，试图打开被感染的文件时会跳出一个错误信息。

•在被CTB-Locker感染、文件已被加密的一些情况下，文件名含有的后缀会带有随机生成的一系列字符;比如说，filename.pdf会被改名成filename.pdf.siudfh。

•最常见的迹象就是在含有被CTB-Locker加密的文件的My Documents目录的root出现两个文件。文件名随机生成，就像上面添加到所有加密文件尾部的后缀那样。

RANDOM_FILENAME.txt

RANDOM_FILENAME.html

此外，刚刚成功验证后会出现赎金屏幕，显示一条警告信息，表明该计算机受到了CTB-Locker的危及;96小时倒计时已开始，必须及时支付赎金、获得解密密钥，方可解密数据。

采取包含在.HTML文件中的步骤之后，指示会要求最终用户安装Tor，以便与病毒开发者的服务器进行通信，并出示赎金已付(用比特币来支付)的证据。一旦付款得到证实，解密密钥就会提供给最终用户，用来解密加密的文件。

此外，CTB-Locker警告屏幕让最终用户可以免费解密五个文件，证实解密密钥确实有效;一旦赎金已付，最终用户就可以重新使用其数据。

如果计算机被感染了CTB-Locker，有哪些办法?

证实确实感染了CTB-Locker的办法是，使用内置到所提供的Tor URL的上传机制，在任何加密文件上试一下。如果文件没有被解密，那么可能是另一种病毒感染了计算机，或者是检索文件的时间限制已到期。在这两种情况下，请阅读下列章节。

如果文件成功解密，你也答应了支付赎金，就要考虑几个方面(我写的下文涉及CryptoWall，但给出的建议同样适用于CTB-Locker)：

“支付赎金本身是一种方法。遗憾的是，赎金必须用比特币来支付，这种数字货币用来购买货品和服务，类似美元。然而，由于缺少监管和普遍没有得到接受，比特币是一个小众市场，不如美元来得常见。”

增添购买难度的是，许多将美元兑换成比特币的交易所对购买较大数额的比特币有所限制。另外还有更严格的公司政策，进一步限制了积累必要的比特币数额以支付赎金。许多这些变化的出现是CryptoWall病毒直接导致的，我们已知道一些交易所取消了交易，限制涉嫌使用其服务来支付赎金的帐户。

虽然有难度，但仍可以在交易所开设帐户，开始筹资以购买比特币，目的是为了在指定的时间内支付赎金。要是你既没有时间，又缺乏技术，另一个可行的办法就是寻求在这方面有经验的IT顾问提供的服务。他们也许能够帮助你全面地恢复数据。”

我无力/不会支付赎金。那么还有其他什么办法可以恢复数据吗?

确定到底要不要支付赎金是个人选择问题，这归结为丢失数据的内在价值。虽然付钱换取解密密钥可能是比聘请顾问或派IT成员来处理数据恢复更简单、有时更省钱的办法，但对某些受监管的机构或者时间限制已到期的受害者而言，可能别无选择。

幸好，最终用户可以采取一些措施，不用花钱就能看看其文件能不能恢复。要认识到这是个很大的前提条件;大多数情况下结果是不付赎金就丢失数据;果真在指定时间内付款的那些人能够通过使用用于解密的私有密钥来恢复数据。

有了这样的免责声明在先，恢复文件的最有效方法就是使用备份。如果你的文件之前定期备份起来，将备份硬盘连接到没有被感染的计算机上，检查你的文件;要是文件在上面，又没有受到感染，你就可以清除被感染计算机上的CTB-Locker，可以重新接上硬盘恢复数据。

如果有基于云的备份，你也许能够先给计算机杀毒，然后从云端恢复你的数据，这具体视服务提供商而定。一些云服务(比如Dropbox)将数据的本地副本存储在主机上;在这种情况下，大多数云服务提供了文件版本控制功能，作为一种额外的保护机制，防范文件被错误地改动。如果给计算机杀毒后使用这项功能，你应该能够将文件的变化部分恢复到感染前的那个日期和时间。

要是根本就没有未受影响的本地或云端备份，那么想恢复文件，唯一的机会就在于卷影拷贝服务(VSS)，恢复之前的文件版本，或系统还原。由于CTB-Locker感染的大部分过程是自动化，截至2015年1月的最新变种会执行命令，删除文件的卷影拷贝，所以有时候，命令因系统资源问题或死机而无法执行。在这种情况下(不过很少见)，只要将系统还原到感染发生之前的时间和日期，就有可能恢复文件。请注意：这是例外，而不是惯例;每种情况需要个别处理。

另外，你可以试着使用ShadowExplorer，恢复一两个文件试试，测试一下这个方法对你来说是否管用;要是管用，记得先清理计算机，清除任何感染，之后再设法恢复你的所有数据。要是系统没有得到清理，它只会试图再次加密文件――而这一回，它也许会成功地停止VSS、清空缓存内容。

应该采取哪些步骤来保护计算机?

不管感染风险大小如何，有几个步骤应该始终要采取。下列建议适用于计算机安全最佳实践，而不是仅仅适用于某一种病毒或一小类恶意软件。

应该安装一款主动式反病毒软件，拥有最新的病毒定义文件，而且在指定时间以及打开文件时实时扫描系统。此外，应该使用带有主动扫描功能的恶意软件扫描工具，并且用最新的定义文件来加以更新，始终不能禁用。

最后，每一款现代化的计算机操作系统都带有个人防火墙;应该启用并配置这个防火墙，那样只有来自已知应用程序的流量才可以上传/下载。其他所有流量、尤其是来自未知来源的流量都应该暂停下来，除非得到最终用户的授权。

你的计算机得到保护后，我们再来说说安全面临的最大威胁之一：用户。对最终用户进行安全教育对基于计算机的保护而言至关重要。毕竟，最终用户也许能够因为防火墙“太烦人”而禁用防火墙，或者因为“计算机运行速度太慢”而停止反病毒扫描。此外，最终用户应该受到培训，明白不点击来历不明的链接或安装可疑软件，因为如今的许多恶意软件感染一开始都是企图实施网络钓鱼的威胁，后来逐渐演变成转发的垃圾电子邮件，撒下一张更大的网。

下一步，保护网络安全，包括控制没有必要访问数据的用户帐户――既包括本地数据，又包括存储在服务器共享区上的数据。以CTB-Locker为例，文件的加密程度受制于已登录的最终用户与其用户帐户关联的访问权限。在企业环境下，用户几乎总是使用权限有限的标准帐户，他们拥有完全访问权限的文件(也就是配置文件文件夹)才会受到文件加密的影响;然而，对于那些其帐户对系统拥有管理员权限的最终用户而言，所有文件都有可能被加密。如果安全管理员定期审查用户和用户组在网络上的权限，以及在本地计算机上的权限，那最好不过了。基于最小权限原则的最佳实践是良好的基础。

合理的备份系统(最好拥有本地和基于云的备份计划)将不遗余力地保护数据。即便系统受到了危及，你照样能够在需要时恢复自己的数据。

保护方面需要考虑的其他因素包括安全互联网实践。别访问可疑网站，千万不要点击电子邮件里面所附的链接，绝对不要在聊天室、论坛、讨论区或社交媒体网站上向任何人提供任何形式的个人身份信息!

最后，如果你是企业网络上的系统管理员，或者使用随处可得的应用程序(比如CryptoPrevent)来阻止CTB-Locker用来潜入你计算机的多条途径，不妨考虑启用软件限制策略。

结束语

安全不是IT。安全不是组织或运营方面的要点。安全是每个人、每个地方都要积极主动地使用技术来沟通、发送/接收个人性质或工作性质的数据。

安全是每个人的责任。虽然这可能对于遏制恶意软件的出现没有太大的作用，但它对于确保恶意软件感染并不导致数据丢失和破坏或者受到窥视、敏感信息泄密大有帮助。