360網際網路安全中心監控到，已經沉寂一段時間的CryptoLocker（文件加密敲詐者）類木馬，本月初在國內又開始傳播感染。本次傳播的木馬是之前CTB-Locker木馬的一個變種，在加密文件之後，會在文件檔名之後加入“.vvv”，該病毒也因此被稱為VVV病毒。

0x00 概述

---

經分析，該木馬的核心加密功能，是根據臭名昭著的TeslaCrypt（特斯拉加密者，與那個電動汽車廠商沒有任何關係）的最新版本改寫而來。TeslaCrypt從今年2月份正式“出道”以來，已經經過了8個版本的迭代。其中前4個版本加密後的文件都可以透過工具恢復，但從第5版開始則無法再恢復。且其第5版和第7版都曾在國內有過不同規模的爆發。

此次病毒事件主要的傳播地區在日本，twitter上搜尋“vvvウイルス”已經鬧翻了天了：

而我國出現該病毒完全屬於“躺槍”。之所以說是“躺槍”，其實看下對方的勒索要求就很明顯了。對方給出了四個所謂的“私人頁面（PersonalPages）”要求你去訪問並獲取交易資訊。但實際上這四個網站的域名分別為：

encpayment23.com
expay34.com
hsh73cu37n1.net
onion.to

這其中，只有最後一個onion.to可以訪問，但這是一個“TorHiddenServicesGateway”，也就是說這是一個用洋蔥路由的方式專門用來隱藏背後真實服務商的網站，並且還需要你安裝一個所謂的“TorBrowser”進入洋蔥網路才能正常瀏覽，於是：

幾個小時過去了……然後就沒有然後了……也就是說即便我想要老老實實的交付贖贖金，也是一個不可能完成的任務。

0x01 傳播

---

不只是不能訪問的頁面，根據我們的監控資料看，也印證了該木馬並非針對中國而來——剛剛進入12月的時候木馬感染量有過一次小規模的上漲，而最近幾天的傳播量更是創了一個新高。但即便如此每天的木馬活躍了也沒有超過100個，所以說總體而言該木馬在我國並沒有真正意義上的“爆發”起來。

而國內中招使用者大部分也是透過比較傳統的途徑感染的木馬——電子郵件：

郵件聲稱你有一筆未償欠款，如果逾期不還的話，會產生7%的利息。而附件中所謂的“單據副本”其實就是這個木馬。多麼典型的詐騙內容——“您有欠款”、“您欠電話費了”、“您有未接收的快遞”、“您有法院傳票”……看來用這樣的說辭並非國人的專利。但全篇的英語又有幾個人會去仔細看完然後點開附件呢？這也就是在國內傳播量很小的主要原因。

而實際上，該木馬在國外的傳播途徑不僅僅是郵件傳播，也包括一部分透過網頁掛馬（以去年最後的CVE-2014-6332和今年出鏡率最高的CVE-2015-5122這兩個漏洞的利用為主）來實現的木馬傳播，但由於經常訪問的網站有很大不同，所以在國內因為網頁掛馬導致感染該木馬的情況並不多見。

0x02 樣本分析

---

樣本最開始的來源是一個偽裝成發票單的js指令碼

咋看內容是一堆亂碼：

對其格式稍加調整之後，可以發現，其實就是一些字元的混淆，最後透過eval函式執行。

直接將其eval的內容log輸出，就能看到真正執行的程式碼了，功能比較簡單，只是一個木馬下載器

樣本本身帶有一個簡單的保護殼，啟動後，會檢測自身路徑，如果不在%appdata%下，會將自身複製過去，並再次啟動，之後刪除之前的木馬檔案，達到隱藏自身的目的。

木馬在%appdata%下執行之後，會再次啟動自身，解密隱藏的程式碼，注入到啟動的這個子程式中：

木馬使用這種方法，試圖繞過傳統特徵碼定位引擎的查殺，解碼出來的程式是真正的木馬工作部分：

木馬的整體流程控制上，和之前的ctb-locker比較相似：

由於這個模組是透過注入方式執行的，啟動後會透過GetProcAddress找到找到所需的系統API：

木馬在感染之前，會先將自身寫入啟動項，保證下次開機仍能夠啟動！

木馬中配置等各類地址，都經過了重新編碼，用來對抗分析：

解碼出的內容包括木馬控制伺服器，金鑰交換時提及的資訊結構：

0012DD0C   00CD1B18  ASCII "Sub=%s&key=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&gate=%s&ip=%s&inst_id=%X%X%X%X%X%X%X%X"
0012DC98   01062040  ASCII "http://crown.essaudio.pl/media/misc.php"
0012DCF0   01061F38  ASCII "http://graysonacademy.com/media/misc.php"
0012DD04   01061E30  ASCII "http://grupograndes.com/media/misc.php"
0012DD18   01061D28  ASCII "http://grassitup.com/media/misc.php"

金鑰生成方式和之前的CTB-Locker一致，都是透過ECDH生成，如果沒有伺服器上的私鈅目前無法獲取到加密金鑰。

檔案加密過程中，會排除掉帶有.vvv副檔名的檔案和帶有recove的檔案：

加密如下190種型別的檔案：

|.r3d|.ptx|.pef|.srw|.x3f|.der|.cer|.crt|.pem|.odt|.ods|.odp|.odm
|.odc|.odb|.doc|.docx|.kdc|.mef|.mrwref|.nrw|.orf|.raw|.rwl|.rw2
|.mdf|.dbf|.psd|.pdd|.pdf|.eps|.jpg|.jpe|.dng|.3fr|.arw|.srf|.sr2
|.bay|.crw|.cr2|.dcr|.ai|.indd|.cdr|.erf|.bar|.hkx|.raf|.rofl|.dba
|.db0|.kdb|.mpqge|.vfs0|.mcmeta|.m2|.lrf|.vpp_pc|.ff|.cfr|.snx
|.lvl|.arch00|.ntl|.fsh|.itdb|.itl|.mddata|.sidd|.sidn|.bkf|.qic
|.bkp|.bc7|.bc6|.pkpass|.tax|.gdb|.qdf|.t12|.t13|.ibank|.sum|.sie
|.zip|.w3x|.rim|.psk|.tor|.vpk|.iwd|.kf|.mlx|.fpk|.dazip|.vtf
|.vcf|.esm|.blob|.dmp|.layout|.menu|.ncf|.sid|.sis|.ztmp|.vdf|.mov
|.fos|.sb|.itm|.wmo|.itm|.map|.wmo|.sb|.svg|.cas|.gho|.syncdb
|.mdbackup|.hkdb|.hplg|.hvpl|.icxs|.docm|.wps|.xls|.xlsx|.xlsm
|.xlsb|.xlk|.ppt|.pptx|.pptm|.mdb|.accdb|.pst|.dwg|.xf|.dxg|.wpd
|.rtf|.wb2|.pfx|.p12|.p7b|.p7c|.txt|.jpeg|.png|.rb|.css|.js|.flv
|.m3u|.py|.desc|.xxx|.wotreplay|wallet|.big|.pak|.rgss3a|.epk|.bik
|.slm|.lbf|.sav|.re4|.apk|.bsa|.ltx|.forge|.asset|.litemod|.iwi
|.das|.upk|.d3dbsp|.csv|.wmv|.avi|.wma|.m4a|.rar|.7z|.mp4|.sql|

在對檔案加密完成之後，會對加密好的檔案進行重新命名，加入vvv副檔名：

和其它木馬判斷完整程式名不同，這個木馬會判斷系統是否執行有程式，帶有askmg,rocex,egedi,sconfi,cmd這些關鍵詞的程式，如果帶有，就結束這些程式，實際上對應的是procexp.exe，taskmgr.exe之類的輔助分析工具等。

加密完成後，會在被加密資料夾下生成：

最後敲詐者展示這個勒索頁面：

0x03 最後

---

由於一旦中招，機器中的所有資料全會被加密，並且完全無法恢復（如上所說，即便你願意付贖金，也可能無處可付），所以對此類木馬的警惕性依然是非常有必要的。使用者在使用計算機的過程中，對重要檔案，最好進行隔離備份，減小各類應病毒木馬攻擊，程式異常，硬體故障等造成的檔案丟失損失。同時也要養成良好的習慣，不要隨意開啟陌生郵件的附件。安裝具有文件防護功能的安全軟體，對於安全軟體已經提示風險的程式，不要繼續執行。