網站首頁 > 熱門病毒專題 > Clop勒索病毒預警
 
標題:Clop勒索病毒預警
分類:熱門病毒專題 日期:2019/2/27 下午 01:09:06

Clop勒索病毒預警

赤豹安全實驗室  江民科技  20190226

 

Clop是一個勒索病毒,病毒主要通過CR4\RSA加密演算法對磁片及共用磁片下的所有非白名單的檔案進行加密。病毒會結束一些可能佔用檔案導致加密失敗的進程,並排除掉指定路徑及檔案(白名單)來保證系統正常運行不至崩潰。目前發現該病毒多種變種,主要是改變了運行方式及加密的公開金鑰。該病毒還配有合法有效的數位簽章。

 

樣本資訊

 

樣本名稱:ClopRansomware.exe

 

樣本家族:Clop

 

樣本類型:勒索病毒。

 

MD50403DB9FCB37BD8CEEC0AFD6C3754314

 

8752A7A052BA75239B86B0DA1D483DD7

 

SHA1A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4

 

6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89

 

檔案案類型:PE EXE

 

文件大小:109896  位元組

 

傳播途徑:網頁掛馬、下載器下載等、U盤傳播、共享檔案傳播等

 

專殺訊息:暫無

 

影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等

 

樣本概況

這是2019年比較新的勒索病毒,主要在韓國傳播,近期有向亞洲各國傳播的趨勢,且發現多個變種。變種主要更改執行流程和部分特徵來達到躲避檢測的目的,且避開很多危險行為,比如開機啟動,拷貝自身檔案等敏感操作都不具備,所以增加了查殺變種的難度。目前該病毒加密後,雖然發了勒索文檔案,但是由於加密的特殊性,基本無法解密。

 

 

 

樣本危害

該樣本會加密磁片上的檔案,並生成勒索文檔案,由於加密演算法的特殊性,加密的Key是根據原文件自己計算得出,所以基本無解密的可能性。

 

 

文件行為

1). 加密磁片中所有檔案並生成檔案案名”+.Clop尾碼的文件

 

2). 生成勒索病毒文本ClopReadMe.txt

 

 

 

進程行為

執行磁片及網路磁片的遍歷,進行加密,進程名為病毒本身名字。

 

另外個別變種會創建名為SecurityCenterIBM的服務。

 

應對措施及建議

1). 安裝防毒軟體並將病毒庫升級為最新版本,並定期對電腦進行全盤掃描。

 

2). 儘量把檔案設置為顯示副檔名,以避免誤點類似的偽裝成資料夾的病毒。

 

3). 大部分的病毒都需要以管理員身份運行,正常情況下使用電腦時儘量不使用超級管理員許可權登錄,在UAC彈窗的提示下儘量確認檔案的安全性再運行檔案。

 

4). 在使用移動儲存裝置前,應對其內檔案進行掃描確認不攜帶病毒檔案。

 

5). 網路檔案伺服器,共用資料夾儘量設置密碼並避免使用弱密碼。

 

6). 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。

 

7). 為本機管理員帳號設置較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數位與字母組合的密碼。

 

8). 不要從不可靠的管道下載軟體,因為這些軟體很可能是帶有病毒的。

 

 

 

 
 
 
CopyRight  © 江民科技 1996 - 2017 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw