圖:感染XTBL敲詐者木馬後的桌面截圖
360反病毒中心發佈的報告顯示,XTBL是一款專門針對Windows伺服器的敲詐者木馬,最早出現于2015年,不過當時只在小範圍傳播,並未大面積影響國內伺服器。但自今年六月起,國內有伺服器開始出現XTBL敲詐者感染跡象,而且還出現了多個變種,11月上旬尤其活躍。
根據受害者的伺服器登陸日誌以及文檔最後修改時間調查,伺服器感染敲詐者木馬之前一段時間曾遭到疑似爆破登陸。駭客入侵伺服器後釋放敲詐者木馬程式,而敲詐者木馬在加密文檔的同時枚舉網路資源,搜尋工作組和域內所有共用伺服器的共用資源,並對其進行加密,以達到二次傳播的效果。
圖:XTBL敲詐者木馬的攻擊流程
XTBL的整個加密過程也分為兩條線,一條加密本地文件,一條加密網路資源中的共用文件。當然,XTBL木馬在開始加密之前,也會刪除電腦中的卷影備份,因此,感染上XTBL敲詐者木馬唯有繳贖金或者棄用資料兩條路可以選擇。
另外,XTBL木馬還會很“精明”地辨別文件大小選擇加密方式:小文件(0x180000字節以下)就直接開始加密,並重命名;大文件(0x180000字節以下以上)則創建新文件加密舊文件,然後再寫入新文件刪除舊文件,以此達到簡化的目的,行為十分狡猾。
XTBL木馬試圖加密的文件類型有很多,包括exe,dll,doc,docx,pdf,xls,xlsx,ppt,zip,rar,bz2,7z,dbf,1cd,jpg等絕大多數用戶常用的文件類型。被感染的文件尾碼名也被修改為“XTBL”,文件名中還附帶上駭客的郵箱,用以接收受害者繳納的贖金。
據360安全專家建議,XTBL敲詐者木馬傳播的根源在於伺服器遭到入侵,而造成伺服器被入侵的根源很可能是弱密碼被爆破。因此,防止XTBL敲詐者木馬入侵伺服器,首先應提高自身的安全意識,及時給伺服器修補漏洞,並設置高強度登陸密碼。
