警告：一大波勒索比特币病毒来袭！

勒索恶意软件于2013年至2014年成长非常迅速，2014年末，针对英国皇家邮政爆发TorrentLocker网络勒索钓鱼尚未退烧，紧接2015年1月又出现CTB-Locker勒索软件，严重的是，它不再只针对某国家、地区，而是全球性且支持多语言的恶意勒索病毒。

ASRC研发中心于CTB-Locker未爆发前，即开始接收到拉丁美洲和东欧的恶意电子邮件报告，利用电子邮件传播恶意代码，目的是要将受害者机密数据及文件加密，然后勒索赎金。我们发现CTB-Locker主要是通过电子邮件传播的，以开始危害至全球数以万计的用户。 目前ASRC云端收集报告整理，以波兰‧捷克共和国和墨西哥所受的影响是最大，下图是目前全球各地区的受影响比例：

CTB-Locker是透过电子邮件攻击，该邮件附件是一个传真型FAX文件，该恶意软件被ASRC检测出Win32/TrojanDownloader.Elenoocka.A。若用户打开文件，防病毒软件将无法保护计算机，Win32/FileCoder.DA (ASRC检测) 变种病毒将入侵到您的系统，所有文件被加密，永远无法使用，除非用户支付赎金(比特币)才能回复文件。

这些变种Win32/TrojanDownloader.Elenoocka.A会连结到远程下载Win32/FileCoder.DA变种病毒，我们称它为CTB-Locker。该变种家族的加密方式类似CryptoLocker来加密所有文件，而主要区别在于加密的运算方式，所以CTB-Locker的名称由此而生。

CTB-Locker是类似CryptoLocker 和TorrentLocker的结合，其扩展文件类型如.mp4、.pem、.jpg、.doc,、.cer、.db等，由密钥加密，目前几乎无法恢复加密文件。一旦恶意软件完成加密动作，会自动跳出信息并更改桌面，如下图。

网络犯罪者提供德语、意大利语、荷兰及英语等多种语言供被害者选择，并告知被害者一旦付完赎金，即可恢复所有文件，同时也会告知若不付赎金将会如何运作。

画面中，网络黑客会展示传送比特币到某个地方后，会将其文件解密，若被害者无比特币，亦可选择其他方式。.

CTB-Locker特别是它可选择不同语言，并转换为该语言的币值，例如选择英文，显示的币值即是美元。目前8比特币等于1680美元。

从技术上来看，Win32/TrojanDownloader.Elenoocka.A是一个小又简单的威胁，就像前文所提到，他们会有很多不同的行动，ASRC研发中心更发现还附加了一个样本invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr。而最近的样本中又多了几个随机字从invoice_2015_01_20-15_33 .scr、stride_invoice_2015_01_20-15_33.scr、tiger_invoice_2015_01_20-15_38.scr etc。之后，他会打开在Word中的RTF文档诱饵，此份文件是在一个名为”DATA”的CAB压缩文件内发现。

目前此勒索软件在全球肆虐中，ASRC全球实时监控系统也不断接到反馈，包括华南地区的深圳和台湾地区，我们已经有数十件案例，ASRC研发中心建议：

1. 由于病毒在进行加密操作前会访问以下的微软官方网站，建议对以下URL进行暂时性的拦截，该措施可以有效防止计算机中文件被加密：

2. www.download.windowsupdate.com

3. 尽快更新最新版本防毒软件，即可预防并侦测出有问题的邮件。

4. 企业用户：建议通过类似SPAM SQR邮件威胁防御软件，对附件中的.scr 文件进行拦截，自动过滤有问题的垃圾邮件，为第一道防护做准备。

5. 个人用户：请格外警惕附件是FAX的来历不明的邮件，并标记为垃圾邮件，以防止其它用户或公司员工受到威胁。

6. 无论企业用户还是个人用：建议定期备份您的重要数据，因为截止目前，被类似勒索软件加密的文件，暂时还无法通过第三方方法还原。

完全抵御此攻击并不是一个简单的任务，需拟订一套完整的安全技术、防范意识和教育、采取积极主动的心态。依照上方四项建议可有效帮助个人及企业避免受到类似恶意威胁。