DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

海外高防_ddos防攻击设备_怎么办

海外高防_ddos防攻击设备_怎么办

在我们关于勒索软件的当前状态的系列文章中,我们之前研究了CryptoWall和TorrentLocker。在这篇文章中,我们将研究一个名为CTB Locker的变体。CTB Locker是一种勒索软件变体,它在要求支付赎金来解密文件之前对受害者硬盘上的文件进行加密。CTB Locker因其高感染率、椭圆曲线加密、Tor和比特币的使用以及其多语言功能而备受关注。感染媒介CTB Locker的作者正在使用一个附属程序,通过将感染过程外包给附属公司或合作伙伴的网络来驱动感染,以换取一部分利润。联盟模式是一个尝试,测试和非常成功的战略,linux防御大流量ddos,以实现大量的恶意软件感染。它已经被用来为假防病毒,点击欺诈计划,和各种各样的其他类型的恶意软件创造巨大的收入。它现在被用来分发勒索软件,cc防火墙,特别是CTB储物柜。2014年年中,研究人员Kafeine首次公开强调CTB Locker的加盟计划。一篇2015年的Reddit帖子声称来自联盟计划的一个实际参与者,并提供了对其运作方式的有趣见解。CTB Locker作者使用与许多漏洞利用工具包作者相似的策略,提供一个托管选项,操作员每月支付费用,作者托管所有代码。这使得成为会员变得简单,相对来说没有风险。Reddit的海报声称每月能挣15000英镑(大概是美元),费用在7000美元左右。作者还提到,他只关注美国、英国、澳大利亚和加拿大等"一级"国家的受害者,因为他从其他地区赚的钱太少,ddos域名攻击防御,不值得花时间。使用分支模型进行分配意味着CTB储物柜有各种不同的感染媒介。我们已经看到它通过包括钻机和核武器在内的几个开发工具包进行分发。然而,正是通过恶意垃圾邮件活动,大部分CTB储物柜感染都被观察到了。最常见的散布CTB储物柜的垃圾邮件活动使用一个名为Dalexis或Elenoocka的下载程序组件。垃圾邮件本身遵循多种格式,包括错过的传真消息、财务报表、过期发票、帐户暂停和错过的彩信。以下是几个例子:现代恶意垃圾邮件的很大一部分是以zip或rar归档文件中的exe文件形式到达的。Dalexis的一个不寻常的方面是,它几乎总是到达一个不太常见的归档文件中,通常是一个cab文件。存档文件包含恶意样本本身,通常带有.scr扩展名,另一个存档文件包含一个诱饵文档,该文档将显示以使受害者相信附件是无害的。恶意的Dalexis示例使用了几种技术来避免沙箱和自动分析系统,包括睡眠一段时间。然后Dalexis通过HTTP以加密的形式下载CTB Locker示例,解码并执行它。执行当CTB Locker执行时,它将自己的一个副本放入temp目录,并创建一个计划任务来启用重启持久性。然后遍历文件系统,所有扩展名与CTB Locker的扩展名列表匹配的文件都将被加密。桌面背景图像被改变,CTB储物柜将赎金信息和一个可点击的界面覆盖在屏幕中央。与某些加密勒索软件变种不同,CTB Locker在开始加密文件之前不需要活动的internet连接。加密CTB Locker代表"Curve To Bitcoin Locker"。名称的"Curve"部分取自其使用的椭圆曲线密码(ECC)。ECC是一种基于有限域上椭圆曲线的公钥密码体制。其强度由椭圆曲线离散对数问题导出。大多数使用公钥加密的文件加密勒索软件倾向于使用基于素数分解的RSA。与RSA相比,ECC的一个优点是可以用更小的密钥大小实现同等的安全级别。例如,256位ECC密钥具有与3072位RSA密钥相同的安全性。ECC提供的密钥大小优势可能是作者决策过程中的一个因素,因为它们将公钥嵌入恶意软件示例中,而较小的密钥占用较少的空间。CTB Locker使用对称和非对称加密的组合来对文件进行置乱。加密本身是使用AES执行的,然后解密文件的方法用ECC公钥加密。这确保只有拥有相应私钥的CTB Locker作者才能解密文件。有关CTB Locker使用的加密方案的详细分析,请参阅"zairon"的分析CTB Locker将加密具有以下扩展名的文件:pwm、kwm、txt、cer、crt、der、pem、doc、cpp、c、php、js、cs、pas、bas、pl、py、docx、rtf、docm、xls、xlsx、安全、,组,xlk、xlsb、xlsm、mdb、mdf、dbf、sql、md、dd、dds、jpe、jpg、jpeg、cr2、raw、rw2、rwl、dwg、dxf、dxg、psd、3fr、accdb,ai、arw、bay、blend、cdr、crw、dcr、dng、eps、erf、indd、kdc、mef、mrw、nef、nrw、odb、odm、odp、ods、odt、orf、p12、p7b、p7c,pdd、pdf、pef、pfx、ppt、pptm、pptx、pst、ptx、r3d、raf、srf、srw、wb2、vsd、wpd、wps、7z、zip、rar、dbx、gdb、bsdr、bsdu,bdcr、bdcu、bpdr、bpdu、ims、bds、bdd、bdp、gsf、gsd、iss、arp、rik、gdb、fdb、abu、配置、rgx随着新版本的发布,这个列表已经扩展。最初,加密文件都有一个".ctbl"扩展名,ddos攻击防御软件下载,但很快就改成了随机扩展名。作者似乎至少从OpenSSL中借用了一些加密代码,因为在未打包的代码中可以找到大量相关的字符串。网络通信由于CTB Locker可以在不需要联系命令和控制服务器的情况下开始加密文件,因此在受害者尝试解密文件之前不需要进行任何网络通信。当这种情况发生时,所有的通信都是通过Tor进行的(这是Curve-Tor比特币储物柜中的"Tor"进入的地方),通常通过代理网站充当托管后端基础设施的Tor隐藏服务的中继。当受害者支付赎金后,CTB Locker将与指挥控制服务器联系,发送一个数据块,其中包含导出解密受害者文件的密钥所需的信息。密钥只能与主数据块一起存储在服务器上。赎金当所有受害者的文件都被加密后,通过改变桌面背景,在屏幕中央叠加主赎金需求和可点击的界面,显示赎金信息。此屏幕通知受害者"您的个人文件已由CTB Locker加密",他们被告知他们有"96小时提交付款",并警告他们,任何从受感染系统中删除恶意软件的尝试都将导致解密密钥被销毁-此时间限制在早期版本中较低。受害者可以单击"下一步"按钮开始解密过程,或者单击"查看"按钮查看加密文件列表。CTB储物柜是高度多语种的赎金单提供多种语言,可通过屏幕顶部的各种标志图标访问。语言的选择似乎至少可以由购买了这个特定CTB储物柜实例的分支机构进行部分定制,而且可用的选项也随着时间的推移而增长。最近的一个示例有以下语言选项-英语、法语、德语、西班牙语、拉脱维亚语、荷兰语和意大利语。拉脱维亚语是一种不寻常的语言选择,因为拉脱维亚一般不被视为勒索软件和其他类型犯罪软件的主要目标。这可能代表了作者们希望打入知名度较低的新市场,或者某个特定的分支机构拥有本地知识,能够更好地在该国发起成功的活动。CTB储物柜的最新变种还为受害者提供了一种验证他们的文件是否可以被解密的方法,方法是免费解密五个随机选择的文件。这似乎是为了获得受害者的信任,增加支付全部赎金的可能性。赎金支付当受害者点击赎金界面时,他们会得到支付金额和支付方式的详细说明。CTB Locker要求比特币(BTC)支付赎金(Bitcoin Locker曲线中的"比特币")。BTC的确切数额是由购买CTB储物柜的附属公司设定的,尽管作者给出了指导,以帮助将赎金金额设定在可能产生最大收入的水平。上面的图12显示了一个要求3 BTC的示例。也可显示660欧元或等值的当地货币。使用Tor隐藏服务的一个缺点是可靠性可能是一个问题,这意味着当受害者试图支付赎金时,命令和控制服务器将无法连接。为了与此作斗争,CTB Locker尝试使用多个不同的Tor代理服务器来访问隐藏的服务,并且还提供手动指示,以防恶意软件样本从受感染的机器中移除。这包括通过web浏览器访问torhidden服务,并将受害者获得的公钥粘贴到表单中。可靠性阅读各种公众支持论坛的帖子表明,在许多情况下,支付赎金将导致CTB储物柜解密受害者的文件。"测试解密"特性是一个很好的指标,表明解密是可能的。然而,受害者必须相信,网络犯罪分子在以BTC方式交出赎金后会兑现承诺。还有一种可能性是,承载执行解密所需的私钥的服务器组件将被暂时或永久关闭,这可能使解密无法进行。在这种情况下,ddos防御系统,网络罪犯很可能会继续接受赎金,尽管他们知道没有办法解密vi

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/51794.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6977479访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X