最新病毒庫日期:
  • Clop勒索病毒分析報告
2019-02-27 15:36 來源:未知
【文章摘要】樣本信息 樣本名稱: ClopRansomware.exe 樣本家族: Clop 樣本類型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

樣本信息

樣本名稱:ClopRansomware.exe
樣本家族:Clop
樣本類型:勒索病毒。
MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件類型:PE EXE。
文件大?。?/strong>109,896  字節
傳播途徑:網頁掛馬、下載器下載等、U盤傳播、貢獻文件傳播等
專殺信息:暫無
影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
樣本來源:互聯網
發現時間:2019.02.22
入庫時間:2016.02.25
C2服務器:暫無 

樣本概況

Clop是一個勒索病毒,病毒主要通過CR4\RSA加密算法對磁盤及共享磁盤下的所有非白名單的文件進行加密。病毒會結束一些可能占用文件導致加密失敗的進程,并排除掉指定路徑及文件(白名單)來保證系統正常運行不至崩潰。目前發現該病毒多種變種,主要是改變了運行方式及加密的公鑰。該病毒還配有合法有效的數字簽名。
 

樣本危害

該樣本會加密磁盤上的文件,并生成勒索文檔,由于加密算法的特殊性,加密的Key是根據原文件自己計算得出,所以基本無解密的可能性。

應對措施及建議

1). 安裝防毒殺毒軟件并將病毒庫升級為最新版本,并定期對計算機進行全盤掃描。
2). 盡量把文件設置為顯示后綴,以避免誤點類似的偽裝為文件夾的病毒。
3). 大部分的病毒都需要以管理員身份運行,正常情況下使用計算機時盡量不使用超級管理員權限登錄,在UAC彈窗的提示下盡量確認文件的安全性再運行文件。
4). 在使用移動介質前,應對移動介質內文件進行掃描確認不攜帶病毒文件。
5). 網絡文件服務器,共享文件夾盡量設置密碼并避免使用弱密碼。
6). 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
7). 為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
8). 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。

行為概述

文件行為

1). 加密磁盤中所有文件并生成 “文件名”+.Clop后綴的文件
2). 生成勒索病毒文本ClopReadMe.txt
 

進程行為

執行磁盤及網絡磁盤的遍歷,進行加密,進程名為病毒本身名字。
另外個別變種會創建名為SecurityCenterIBM的服務。

注冊表行為

網絡行為

詳細分析報告

病毒執行流程:
 
 
 
 
由于該病毒有多個變種,但病毒主體加密代碼基本一致,只有修改了代碼運行的流程和運行方式,使其特征更難被發現。下面將對其中的2個變種進行詳細分析。
 
變種一ClopRansomware文件分析:
 
1、樣本也是同樣先獲取進程及線程,作了一些無用操作,并且循環666000次,來拖延時間反沙箱。

 
 
2、然后大量結束可能會占用文件的辦公軟件及數據庫進程,來確保下面的感染過程順利進行

 
3、KillProcess_By_Name函數內部:
 
 
4、然后創建互斥體CLOP#666檢測樣本是否已經運行

 
 
5、然后創建進程調用加密函數,加密網絡共享磁盤

 
 
5.1線程內部:

 
 
5.2枚舉網絡共享磁盤,并調用Encryption_sub_40B480進行加密,加密過程和下方遍歷本地磁盤的過程相同,稍后詳細分析。

 
 
6、枚舉本地磁盤,并開啟線程進行加密

 
6.1開啟線程內部:

 
 
Sub_40BE90函數內部先判斷路徑,再判斷文件,避免加密了系統和關鍵文件,導致系統崩潰

 
如果不在排出列表內,則開啟線程進行加密
 
 
詳細分析StartAddress開啟的線程
6.1先設置文件屬性可讀可寫,然后通過映像的方式打開文件
 
 
6.2調用sub_40D200函數使用RC4算法獲取公鑰存放在NumberOfBytesWritten
 
 

6.3并導出密匙的前0x75個字節作為RC4的密匙,如果使用WindowsAPI的函數導出密匙失敗則使用默認密匙

 
 
 
6.4 sub_40D2E0則為加密文件的主體過程,稍后詳細分析加密過程

 
 
6.5在當前路徑下從資源中尋找SIXSIX解密后生成ClopReadMe.txt勒索文檔

 
 
6.6創建文件,名字為原始文件名+.Clop,將加密的內容寫入,并刪除原始文件

 
 
 
7、然后獲取了個指定的路徑進行加密
 
 
8、sub_40D2E0加密函數的詳細過程
8.1在獲取詳細密匙后,先填充了Sbox,然后用密匙key打亂Sbox
 
 
 
8.2 然后調用sub_40D330進行加密
 
 
 
由于加密所用的密匙Key為根據原文件獲取,且認為每個文件都是唯一的,除非有原文件,才能解密出Key,所以基本無解密文件的可能。
 
變種二gmontraff.exe文件分析:
 
變種二主要是在變種一的前提下,增加了環境的判斷,更換了指定的變量名,更換了RC4的密鑰提取長度,并添加了一個服務作為感染運行的主體
 
1、樣本先檢查了是否有可運行的環境,如果不具備,則修改全路徑參數,重新運行樣本
 
函數sub_40D6A0修改全路徑參數并運行:
 
 
2、然后該樣本會創建一個名為“SecurityCenterIBM”的服務,并啟動服務
 
 
3、sub_40D770函數就是服務運行的主體代碼,服務內部開啟了一個線程
 
 
4、相信分析線程的回調函數代碼,發現樣本先創建文件,獲取本線程等等,并且循環了666000次,是為了反沙箱檢測,并沒有的實際的作用。
 
 
 
5、然后執行的sub_40E590函數從資源文件中加載SIXSIX1的文件,并解密該文件,解密完成后打開該文件,為勒索文檔。
 
 
 
 
6、檢查互斥體MoneyP#666是否存在,來驗證加密程序是否在運行,如果在運行就退出
 
 
 
7、病毒運行后創建進程大量結束占用文件的進程
 
 
 
8、然后創建線程枚舉共享網絡磁盤進行加密
 
 
 
9、遍歷本地磁盤進行文件加密
 
 
10、獲取指定磁盤路徑進行加密,并生成勒索文本
 

總結

這是2019年比較新的勒索病毒,主要在韓國傳播,近期有向國內傳播的趨勢,且發現多個變種。變種主要更改執行流程和部分特征來達到躲避檢測的目的,且該邊度很多危險行為,比如開機啟動,拷貝自身文件等敏感操作都不具備,所以增加了查殺變種的難度。
目前該病毒加密后,雖然發了勒索文檔,但是由于加密的特殊性,基本無法解密。

附錄

Hash
C&C
球探网足球比分 免费彩票计划软件苹果版 双色球胆拖金额 今晚p62开奖结果查询 看4张牌的抢庄牛牛 pk10走势图教程 排列五开奖号码结果 重庆时时彩后三包胆是什么意思 重庆时时彩网 pk10走势图杀码技巧 腾讯分分彩五星独胆算法 时时彩计划稳赢版 大乐透中奖说明和玩法 手机怎么能机选双色球 重庆时时彩一天多少期? 打鱼机技巧规律