Xtbl是一款專門針對Windows服務(wù)器的敲詐勒索木馬，最早可以追溯到2015年，到2016年6月，這款木馬開始大規(guī)模傳播，感染各類存在漏洞的Windows服務(wù)器，此木馬會加密服務(wù)器中的各類文檔，包括部分exe和dll文件，敲詐1~3個比特幣。

“XTBL”敲詐者的攻擊目標主要為Windows服務(wù)器，攻擊成功的案例中很多是因為弱口令原因造成。黑客入侵服務(wù)器后釋放敲詐者木馬程序，而敲詐者木馬在加密文檔的同時枚舉網(wǎng)絡(luò)資源，查找工作組和域內(nèi)所有共享服務(wù)器的共享資源，并對其進行加密，感染整個網(wǎng)絡(luò)。

敲詐者樣本截圖

攻擊過程截圖

敲詐與支付信息

1.中招之后，會將用戶計算機桌面替換為下面一張圖片，要求用戶聯(lián)系對方解密文件

2.計算機中的文檔和文件會被加一個用戶id和一個郵件，擴展名會被改為xtbl。

3.聯(lián)系對方留下的郵箱，對方會要求支付1~3個比特幣做為贖金。

和其它幾類敲詐者略有不同，XTBL會加密計算機中部分exe和dll文件，造成機器上很多程序無法正常工作。其加密的文件還包括doc，docx，pdf，xls，xlsx，ppt，zip，rar，bz2，7z，dbf，1cd，jpg等。

該敲詐者還會通過如下命令刪除系統(tǒng)備份：

vssadmin.exe Delete Shadows /All /Quiet

1.做好服務(wù)器的安全防護，嚴格規(guī)范使用密碼。

2.及時更新服務(wù)器應(yīng)用組件，打好安全更新補丁。

3.定期檢查和及時清理不必要的服務(wù)，定期檢查服務(wù)器運行日志。

4.重要數(shù)據(jù)多做備份。

5.安裝可靠的安全防護軟件或防護設(shè)施。

查殺工具

實時保護工具