• 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • 最新病毒库日期:
    • Clop勒索病毒分析报告
    2019-02-27 15:36 来源:未知
    【文章摘要】样本信息 样本名称: ClopRansomware.exe 样本家族: Clop 样本类型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

    样本信息

    样本名称:ClopRansomware.exe
    样本家族:Clop
    样本类型:勒索病毒。
    MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
    8752A7A052BA75239B86B0DA1D483DD7
    SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
    6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
    文件类型:PE EXE。
    文件大?。?/strong>109,896  字节
    传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
    专杀信息:暂无
    影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
    样本来源:互联网
    发现时间:2019.02.22
    入库时间:2016.02.25
    C2服务器:暂无 

    样本概况

    Clop是一个勒索病毒,病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。
     

    样本危害

    该样本会加密磁盘上的文件,并生成勒索文档,由于加密算法的特殊性,加密的Key是根据原文件自己计算得出,所以基本无解密的可能性。

    应对措施及建议

    1). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
    2). 尽量把文件设置为显示后缀,以避免误点类似的伪装为文件夹的病毒。
    3). 大部分的病毒都需要以管理员身份运行,正常情况下使用计算机时尽量不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
    4). 在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
    5). 网络文件服务器,共享文件夹尽量设置密码并避免使用弱密码。
    6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
    7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
    8). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

    行为概述

    文件行为

    1). 加密磁盘中所有文件并生成 “文件名”+.Clop后缀的文件
    2). 生成勒索病毒文本ClopReadMe.txt
     

    进程行为

    执行磁盘及网络磁盘的遍历,进行加密,进程名为病毒本身名字。
    另外个别变种会创建名为SecurityCenterIBM的服务。

    注册表行为

    网络行为

    详细分析报告

    病毒执行流程:
     
     
     
     
    由于该病毒有多个变种,但病毒主体加密代码基本一致,只有修改了代码运行的流程和运行方式,使其特征更难被发现。下面将对其中的2个变种进行详细分析。
     
    变种一ClopRansomware文件分析:
     
    1、样本也是同样先获取进程及线程,作了一些无用操作,并且循环666000次,来拖延时间反沙箱。

     
     
    2、然后大量结束可能会占用文件的办公软件及数据库进程,来确保下面的感染过程顺利进行

     
    3、KillProcess_By_Name函数内部:
     
     
    4、然后创建互斥体CLOP#666检测样本是否已经运行

     
     
    5、然后创建进程调用加密函数,加密网络共享磁盘

     
     
    5.1线程内部:

     
     
    5.2枚举网络共享磁盘,并调用Encryption_sub_40B480进行加密,加密过程和下方遍历本地磁盘的过程相同,稍后详细分析。

     
     
    6、枚举本地磁盘,并开启线程进行加密

     
    6.1开启线程内部:

     
     
    Sub_40BE90函数内部先判断路径,再判断文件,避免加密了系统和关键文件,导致系统崩溃

     
    如果不在排出列表内,则开启线程进行加密
     
     
    详细分析StartAddress开启的线程
    6.1先设置文件属性可读可写,然后通过映像的方式打开文件
     
     
    6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten
     
     

    6.3并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密匙失败则使用默认密匙

     
     
     
    6.4 sub_40D2E0则为加密文件的主体过程,稍后详细分析加密过程

     
     
    6.5在当前路径下从资源中寻找SIXSIX解密后生成ClopReadMe.txt勒索文档

     
     
    6.6创建文件,名字为原始文件名+.Clop,将加密的内容写入,并删除原始文件

     
     
     
    7、然后获取了个指定的路径进行加密
     
     
    8、sub_40D2E0加密函数的详细过程
    8.1在获取详细密匙后,先填充了Sbox,然后用密匙key打乱Sbox
     
     
     
    8.2 然后调用sub_40D330进行加密
     
     
     
    由于加密所用的密匙Key为根据原文件获取,且认为每个文件都是唯一的,除非有原文件,才能解密出Key,所以基本无解密文件的可能。
     
    变种二gmontraff.exe文件分析:
     
    变种二主要是在变种一的前提下,增加了环境的判断,更换了指定的变量名,更换了RC4的密钥提取长度,并添加了一个服务作为感染运行的主体
     
    1、样本先检查了是否有可运行的环境,如果不具备,则修改全路径参数,重新运行样本
     
    函数sub_40D6A0修改全路径参数并运行:
     
     
    2、然后该样本会创建一个名为“SecurityCenterIBM”的服务,并启动服务
     
     
    3、sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程
     
     
    4、相信分析线程的回调函数代码,发现样本先创建文件,获取本线程等等,并且循环了666000次,是为了反沙箱检测,并没有的实际的作用。
     
     
     
    5、然后执行的sub_40E590函数从资源文件中加载SIXSIX1的文件,并解密该文件,解密完成后打开该文件,为勒索文档。
     
     
     
     
    6、检查互斥体MoneyP#666是否存在,来验证加密程序是否在运行,如果在运行就退出
     
     
     
    7、病毒运行后创建进程大量结束占用文件的进程
     
     
     
    8、然后创建线程枚举共享网络磁盘进行加密
     
     
     
    9、遍历本地磁盘进行文件加密
     
     
    10、获取指定磁盘路径进行加密,并生成勒索文本
     

    总结

    这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏感操作都不具备,所以增加了查杀变种的难度。
    目前该病毒加密后,虽然发了勒索文档,但是由于加密的特殊性,基本无法解密。

    附录

    Hash
    C&C
  • 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • 时时彩开奖结果记录 快乐五分彩软件 福建时时彩走势图今天 大乐透预测110期 四川时时彩账号 网易彩票5元 山东时时彩是什么意思是什么意思 极速飞艇在线计划 彩票投注截止时间 okooo澳客网官方下载 pk10双面新凤凰 2018香港开奖结果 mzd娱乐平台 重庆幸运农场开奖走势 福彩3d今日开奖号码 pk10冠军四码规律破解