Clop勒索病毒預警
赤豹安全實驗室 江民科技 20190226
Clop是一個勒索病毒,病毒主要通過CR4\RSA加密演算法對磁片及共用磁片下的所有非白名單的檔案進行加密。病毒會結束一些可能佔用檔案導致加密失敗的進程,並排除掉指定路徑及檔案(白名單)來保證系統正常運行不至崩潰。目前發現該病毒多種變種,主要是改變了運行方式及加密的公開金鑰。該病毒還配有合法有效的數位簽章。
樣本資訊
樣本名稱:ClopRansomware.exe
樣本家族:Clop
樣本類型:勒索病毒。
MD5:0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1:A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
檔案案類型:PE EXE。
文件大小:109,896 位元組
傳播途徑:網頁掛馬、下載器下載等、U盤傳播、共享檔案傳播等
專殺訊息:暫無
影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
樣本概況
這是2019年比較新的勒索病毒,主要在韓國傳播,近期有向亞洲各國傳播的趨勢,且發現多個變種。變種主要更改執行流程和部分特徵來達到躲避檢測的目的,且避開很多危險行為,比如開機啟動,拷貝自身檔案等敏感操作都不具備,所以增加了查殺變種的難度。目前該病毒加密後,雖然發了勒索文檔案,但是由於加密的特殊性,基本無法解密。
樣本危害
該樣本會加密磁片上的檔案,並生成勒索文檔案,由於加密演算法的特殊性,加密的Key是根據原文件自己計算得出,所以基本無解密的可能性。
文件行為
1). 加密磁片中所有檔案並生成 “檔案案名”+.Clop尾碼的文件
2). 生成勒索病毒文本ClopReadMe.txt
進程行為
執行磁片及網路磁片的遍歷,進行加密,進程名為病毒本身名字。
另外個別變種會創建名為SecurityCenterIBM的服務。
應對措施及建議
1). 安裝防毒軟體並將病毒庫升級為最新版本,並定期對電腦進行全盤掃描。
2). 儘量把檔案設置為顯示副檔名,以避免誤點類似的偽裝成資料夾的病毒。
3). 大部分的病毒都需要以管理員身份運行,正常情況下使用電腦時儘量不使用超級管理員許可權登錄,在UAC彈窗的提示下儘量確認檔案的安全性再運行檔案。
4). 在使用移動儲存裝置前,應對其內檔案進行掃描確認不攜帶病毒檔案。
5). 網路檔案伺服器,共用資料夾儘量設置密碼並避免使用弱密碼。
6). 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
7). 為本機管理員帳號設置較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數位與字母組合的密碼。
8). 不要從不可靠的管道下載軟體,因為這些軟體很可能是帶有病毒的。
|