谁是比特币勒索者

谁是比特币勒索者第 1 部分

1、中毒后被勒索比特币，不交钱就撕票。

2.循环解密，写入动态申请内存。

3. 一。 概括。 但一旦被感染，加密文件就无法恢复。 在已经发生的案例中，赎金金额为3个比特币，目前比特币的市场价格约为1400元一个！

4.再次申请内存，自己解密，在内存中动态扩展第三步使用的病毒。

5. odp, ods, odt, orf, p12, p7b, p7c, pdd, pdf, pef, pfx, ppt, pptm, pptx, pst, ptx,.

6. r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu, bdcr,.

7、远程向svchost.exe注入恶意代码，判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒的条件代码！

8、示例攻击流程如下： 第五步：。

9、硬盘有价，数据无价。 对于很多企业和个人用户来说，数据丢失将是难以承受的，比特币勒索者瞄准了这个市场。 最初的病毒在支付环节并没有使用匿名网络服务器，但是后来支付环节使用了TOR等代理进行中转，使得警方更难追踪，而比特币的支付方式也让其难以追查掌握赎金流向！

10. 三、技术细节。 如果可以连接到 Internet，.

谁是比特币勒索者第 2 部分

1、RTF文件内容如下： 近日，一种名为CTB-Locker的比特币勒索病毒呈爆发式传播。 中毒计算机上的110种文件将被远程加密，以此作为威胁，向感染者勒索比特币赎金。 不支付赎金将导致所有加密的私人文件如果票被“撕毁”将被永久锁定。 目前病毒可以查杀，但是加密方式国内外都无法破解。 据悉，“比特币勒索者”系列病毒的作者是俄罗斯黑客叶夫根尼·米哈伊洛维奇·博加乔夫（Evgeniy Mikhailovich Bogachev），他在美国FBIFBI公布的十大通缉黑客名单中排名第二。 已为捕获 Bogchev 提供了 300 美元的巨额奖励！

2. 既然没有办法破解病毒的加密，只能以预防为主。 在打开电子邮件附件或文件之前进行安全扫描，并注意在不熟悉的环境中打开未知文件。 另外，还要做好数据备份，隔离重要数据备份，感染后迅速恢复！

3.第四步：。 海湾，混合，cdr，crw，dcr，dng，eps，erf，indd，kdc，mef，mrw，nef，nrw，odb，odm，。

4. rtf, docm, xls, xlsx, safe, groups, xlk, xlsb, xlsm, mdb, mdf, dbf, sql, md, dd,.

5.根据电脑启动时间、文件创建、修改、访问时间等信息生成随机种子KEY！

6、主要通过邮件附件传播，针对有钱人。

7、误打CTB-Locker后，电脑会弹出“您的个人文件已被CTB-Locker加密”的弹窗一个比特币内存有多大，个人文件已被CTB-Locker加密，并提示在其中支付比特币作为赎金指定的时间。 逾期不付款，将永久锁定。 该病毒可以感染计算机中的docx、pdf、xlsx、jpg等110种文件，并对其进行加密，使其无法正常打开。 据说该病毒使用了4096位的算法。 目前国内外都没有办法破解。 支付赎金是取回文件的唯一途径！

8. 由于对私人文件进行加密，CTB-Locker主要传播给企业高管或有钱人。 主要通过邮件附件传播，针对特定人群！

9、遍历用户的所有文件，包括硬盘、U盘、网络共享等，判断用户的文件格式是否符合感染目标，一共114种文件作为病毒感染目标：。

10. dds, jpe, jpg, jpeg, cr2, raw, rw2, rwl, dwg, dxf, dxg, psd, 3fr, accdb, ai, arw,.

谁是比特币勒索者第 3 部分

1、第二步：病毒使用大量垃圾指令阻碍样本分析，最后在内存中扩展第三步使用的PE文件！

2、最后的勒索功能在第五步实现！

3、据美国联邦调查局调查，始作俑者波格切夫用终结者宙斯和比特币勒索者两种病毒感染了12个国家超过100万台电脑，经济损失超过1亿美元！

4、解密完成后，跳转到动态申请的内存，执行解密后的代码。

5.最后修改受害者的壁纸显示勒索信息：。

6、国内多位网友反映感染CTB-Locker勒索病毒。 电脑中的文件还提醒受害者在96小时内支付8比特币赎金，否则文件将永久无法打开。 这是CTB-Locker勒索病毒首次在国内出现，受害者多为企业高管等商务人士！

7.用之前类似的方法动态解密自己，在内存中展开一个新的PE文件，并且这个文件是打包的，目的还是为了阻碍分析。 代码还原后一个比特币内存有多大，就可以在内存中获取到第五步需要的病毒了！

8.MD5：a2fe69a12e75744b7088ae13bfbf8260。

9. pwm, kwm, cer, crt, der, pem, doc, cpp, c, php, js, cs, pas, bas, pl, py, docx,.

10、第三步：获取自身资源，释放并执行RTF文件，让用户误以为文件被打开。

谁是比特币勒索者第 4 部分

1、受影响的操作系统：Windows系统。

2. 二、样本信息。 接下来，示例尝试访问 windowsupdate.microsoft.com 以确定用户是否可以连接到 Internet！

3.传输量：估计全国>1000。

4. CTB-Locker 病毒通过电子邮件附件传播。 如果用户不慎运行，用户系统中的文档、照片等114类文件将被病毒加密。 该病毒在用户桌面显示勒索信息，要求病毒作者支付8比特币的赎金才能解密并恢复文件内容！

5. 第一步：通过电子邮件附件发送病毒样本。

6、病毒勒索过程具有“五高”特点：隐蔽性高、犯罪技术含量高、勒索金额高、攻击高端人群、中招危害大，对部分境外企业造成不良影响商业。 360QVM团队第一时间对病毒进行深度分析！

7. CTB-Locker 并不是第一个针对比特币用户的病毒。 该病毒可以加密大多数计算机文件，甚至比特币钱包文件。 要泄露秘密，必须支付赎金。 但是使用比特币支付和代理网络使得身份追踪变得极其困难。 在比特币兴起的过程中，此类病毒和木马大爆发。 虽然现在比特币的价格很低，但病毒已经针对了其他用户，比特币仍然被用作赎金支付工具。 CTB-Locker“Bitcoin Blackmailer”病毒。

8. bdcu、bpdr、bpdu、ims、bds、bdd、bdp、gsf、gsd、iss、arp、rik、gdb、fdb、abu、config、rgx。

9. 获取赎金支付信息需要在Tor网络中进行。 Tor网络是随机匿名加密的，比特币交易也是完全匿名的，这使得病毒作者很难被追踪，受害者也很难支付赎金。 一旦中招，一般人只能尝试找回“以前版本”的加密文件，但前提是系统启用了卷影复制或Windows备份服务，否则将很难找回文件！