Xtbl是一款專門針對(duì)Windows服務(wù)器的敲詐勒索木馬，最早可以追溯到2015年，到2016年6月，這款木馬開始大規(guī)模傳播，感染各類存在漏洞的Windows服務(wù)器，此木馬會(huì)加密服務(wù)器中的各類文檔，包括部分exe和dll文件，敲詐1~3個(gè)比特幣。

“XTBL”敲詐者的攻擊目標(biāo)主要為Windows服務(wù)器，攻擊成功的案例中很多是因?yàn)槿蹩诹钤蛟斐伞：诳腿肭址?wù)器后釋放敲詐者木馬程序，而敲詐者木馬在加密文檔的同時(shí)枚舉網(wǎng)絡(luò)資源，查找工作組和域內(nèi)所有共享服務(wù)器的共享資源，并對(duì)其進(jìn)行加密，感染整個(gè)網(wǎng)絡(luò)。

敲詐者樣本截圖

攻擊過程截圖

敲詐與支付信息

1.中招之后，會(huì)將用戶計(jì)算機(jī)桌面替換為下面一張圖片，要求用戶聯(lián)系對(duì)方解密文件

2.計(jì)算機(jī)中的文檔和文件會(huì)被加一個(gè)用戶id和一個(gè)郵件，擴(kuò)展名會(huì)被改為xtbl。

3.聯(lián)系對(duì)方留下的郵箱，對(duì)方會(huì)要求支付1~3個(gè)比特幣做為贖金。

和其它幾類敲詐者略有不同，XTBL會(huì)加密計(jì)算機(jī)中部分exe和dll文件，造成機(jī)器上很多程序無法正常工作。其加密的文件還包括doc，docx，pdf，xls，xlsx，ppt，zip，rar，bz2，7z，dbf，1cd，jpg等。

該敲詐者還會(huì)通過如下命令刪除系統(tǒng)備份：

vssadmin.exe Delete Shadows /All /Quiet

1.做好服務(wù)器的安全防護(hù)，嚴(yán)格規(guī)范使用密碼。

2.及時(shí)更新服務(wù)器應(yīng)用組件，打好安全更新補(bǔ)丁。

3.定期檢查和及時(shí)清理不必要的服務(wù)，定期檢查服務(wù)器運(yùn)行日志。

4.重要數(shù)據(jù)多做備份。

5.安裝可靠的安全防護(hù)軟件或防護(hù)設(shè)施。

查殺工具

實(shí)時(shí)保護(hù)工具