Clop勒索病毒預警

赤豹安全實驗室  江民科技  20190226

Clop是一個勒索病毒，病毒主要通過CR4\RSA加密演算法對磁片及共用磁片下的所有非白名單的檔案進行加密。病毒會結束一些可能佔用檔案導致加密失敗的進程，並排除掉指定路徑及檔案（白名單）來保證系統正常運行不至崩潰。目前發現該病毒多種變種，主要是改變了運行方式及加密的公開金鑰。該病毒還配有合法有效的數位簽章。

樣本資訊

樣本名稱：ClopRansomware.exe

樣本家族：Clop

樣本類型：勒索病毒。

MD5：0403DB9FCB37BD8CEEC0AFD6C3754314

8752A7A052BA75239B86B0DA1D483DD7

SHA1：A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4

6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89

檔案案類型：PE EXE。

文件大小：109，896  位元組

傳播途徑：網頁掛馬、下載器下載等、U盤傳播、共享檔案傳播等

專殺訊息：暫無

影響系統：Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等

樣本概況

這是2019年比較新的勒索病毒，主要在韓國傳播，近期有向亞洲各國傳播的趨勢，且發現多個變種。變種主要更改執行流程和部分特徵來達到躲避檢測的目的，且避開很多危險行為，比如開機啟動，拷貝自身檔案等敏感操作都不具備，所以增加了查殺變種的難度。目前該病毒加密後，雖然發了勒索文檔案，但是由於加密的特殊性，基本無法解密。

樣本危害

該樣本會加密磁片上的檔案，並生成勒索文檔案，由於加密演算法的特殊性，加密的Key是根據原文件自己計算得出，所以基本無解密的可能性。

文件行為

1). 加密磁片中所有檔案並生成 “檔案案名”+.Clop尾碼的文件

2). 生成勒索病毒文本ClopReadMe.txt

進程行為

執行磁片及網路磁片的遍歷，進行加密，進程名為病毒本身名字。

另外個別變種會創建名為SecurityCenterIBM的服務。

應對措施及建議

1). 安裝防毒軟體並將病毒庫升級為最新版本，並定期對電腦進行全盤掃描。

2). 儘量把檔案設置為顯示副檔名，以避免誤點類似的偽裝成資料夾的病毒。

3). 大部分的病毒都需要以管理員身份運行，正常情況下使用電腦時儘量不使用超級管理員許可權登錄，在UAC彈窗的提示下儘量確認檔案的安全性再運行檔案。

4). 在使用移動儲存裝置前，應對其內檔案進行掃描確認不攜帶病毒檔案。

5). 網路檔案伺服器，共用資料夾儘量設置密碼並避免使用弱密碼。

6). 現在有很多利用系統漏洞傳播的病毒，所以給系統打全補丁也很關鍵。

7). 為本機管理員帳號設置較為複雜的密碼，預防病毒通過密碼猜測進行傳播，最好是數位與字母組合的密碼。

8). 不要從不可靠的管道下載軟體，因為這些軟體很可能是帶有病毒的。