最新病毒库日期:
              • Clop勒索病毒分析报告
              2019-02-27 15:36 来源:未知
              【文章摘要】样本信息 样本名称: ClopRansomware.exe 样本家族: Clop 样本类型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

              样本信息

              样本名称:ClopRansomware.exe
              样本家族:Clop
              样本类型:勒索病毒。
              MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
              8752A7A052BA75239B86B0DA1D483DD7
              SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
              6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
              文件类型:PE EXE。
              文件大小:109,896  字节
              传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
              专杀信息:暂无
              影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
              样本来源:互联网
              发现时间:2019.02.22
              入库时间:2016.02.25
              C2服务器:暂无 

              样本概况

              Clop是一个勒索病毒,病毒主要通过CR4\RSA?#29992;?#31639;法?#28304;?#30424;及共享磁盘下的所有非白名单的文件进行?#29992;堋?#30149;毒会结束一些可能占用文件导致?#29992;?#22833;败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运?#32961;?#33267;崩溃。目前发现该病毒多种变种,主要是改变了运行方式及?#29992;?#30340;公钥。该病毒还配有合法有效的数?#26234;?#21517;。
               

              样本危害

              该样本会?#29992;?#30913;盘上的文件,并生成勒索文档,由于?#29992;?#31639;法的特殊性,?#29992;?#30340;Key是根据原文件自己计算得出,所以基本无解密的可能性。

              应?#28304;?#26045;及建议

              1). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
              2). 尽量把文件设置为显示后缀,?#21592;?#20813;误点类似的伪装为文件夹的病毒。
              3). 大部分的病毒?#22841;?#35201;以管理员身份运行,正常情况下使用计算机?#26412;?#37327;不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
              4). 在使用移动介?#26159;埃?#24212;对移动介质内文件进行扫描确认不携带病毒文件。
              5). 网络文件服务器,共享文件夹尽?#21487;?#32622;密码并避免使用弱密码。
              6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
              7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
              8). 不要?#30828;?#21487;靠的渠道下载软件,因为这些软件很可能是带有病毒的。

              行为概述

              文件行为

              1). ?#29992;?#30913;盘中所有文件并生成 “文件名”+.Clop后缀的文件
              2). 生成勒索病毒文本ClopReadMe.txt
               

              进程行为

              执行磁盘及网络磁盘的遍历,进行?#29992;埽?#36827;程名为病毒本身名字。
              另外个别变种会创建名为SecurityCenterIBM的服务。

              注册表行为

              网络行为

              详细分析报告

              病毒执行流程:
               
               
               
               
              由于该病毒有多个变种,但病毒主体?#29992;?#20195;码基本一致,只有修改了代码运行的流程和运行方式,使其特征更难被发现。下面将?#20113;?#20013;的2个变种进行详细分析。
               
              变种一ClopRansomware文件分析:
               
              1、样本也是同样先获取进程及线程,作了一些无用操作,并且循环666000?#21361;?#26469;拖延时间反沙箱。

               
               
              2、然后大量结束可能会占用文件的办公软件及数据库进程,来确保下面的感染过程顺利进行

               
              3、KillProcess_By_Name函数内部:
               
               
              4、然后创建互斥体CLOP#666检测样本是否已经运行

               
               
              5、然后创建进程调用?#29992;?#20989;数,?#29992;?#32593;络共享磁盘

               
               
              5.1线程内部:

               
               
              5.2?#27602;?#32593;络共享磁盘,并调用Encryption_sub_40B480进行?#29992;埽用?#36807;程和下方遍历本地磁盘的过程相同,稍后详细分析。

               
               
              6、?#27602;?#26412;地磁盘,并开启线程进行?#29992;?/strong>

               
              6.1开启线程内部:

               
               
              Sub_40BE90函数内部先判?#19979;?#24452;,再判断文件,避免?#29992;?#20102;系统和关键文件,导致系统崩溃

               
              如果不在排出列表内,则开启线程进行?#29992;?br />  
               
              详细分析StartAddress开启的线程
              6.1先设置文件属性可读可写,然后通过映像的方式打开文件
               
               
              6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten
               
               

              6.3并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密?#36164;?#36133;则使用默认密匙

               
               
               
              6.4 sub_40D2E0则为?#29992;?#25991;件的主体过程,稍后详细分析?#29992;?#36807;程

               
               
              6.5在当前路径下从?#35797;?#20013;寻找SIXSIX解密后生成ClopReadMe.txt勒索文档

               
               
              6.6创建文件,名字为原始文件名+.Clop,将?#29992;?#30340;内容写入,并删除原始文件

               
               
               
              7、然后获取了个指定的路径进行?#29992;?/strong>
               
               
              8、sub_40D2E0?#29992;?#20989;数的详细过程
              8.1在获取详细密匙后,先填充了Sbox,然后用密匙key打乱Sbox
               
               
               
              8.2 然后调用sub_40D330进行?#29992;?/strong>
               
               
               
              由于?#29992;?#25152;用的密匙Key为根据原文件获取,且认为每个文件都是唯一的,除非有原文件,才能解密出Key,所以基本无解密文件的可能。
               
              变种二gmontraff.exe文件分析:
               
              变种二主要是在变种一的前提下,增加了环境的判断,更换了指定的变量名,更换了RC4的密钥提取长度,并添加了一个服务作为感染运行的主体
               
              1、样本先检查了是否有可运行的环?#24120;?#22914;果不具备,则修改全路径参数,重新运行样本
               
              函数sub_40D6A0修改全路径参数并运行:
               
               
              2、然后该样本会创建一个名为“SecurityCenterIBM”的服务,并启动服务
               
               
              3、sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程
               
               
              4、相信分析线程的回调函数代码,发现样本先创建文件,获取本线程等等,并且循环了666000?#21361;?#26159;为了反沙箱检测,并没有的?#23548;?#30340;作用。
               
               
               
              5、然后执行的sub_40E590函数从?#35797;?#25991;件中加载SIXSIX1的文件,并解密该文件,解密完成后打开该文件,为勒索文档。
               
               
               
               
              6、检查互斥体MoneyP#666是否存在,来验证?#29992;?#31243;序是否在运行,如果在运行就退出
               
               
               
              7、病毒运行后创建进程大量结束占用文件的进程
               
               
               
              8、然后创建线程?#27602;?#20849;享网络磁盘进行?#29992;?/strong>
               
               
               
              9、遍历本地磁盘进行文件?#29992;?/strong>
               
               
              10、获取指定磁盘路径进行?#29992;埽?#24182;生成勒索文本
               

              总结

              这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏?#32961;?#20316;都不具备,所以增加了查杀变种的?#35759;取?br /> 目?#26696;?#30149;毒?#29992;?#21518;,虽然发了勒索文档,但是由于?#29992;?#30340;特殊性,基本无法解密。

              附录

              Hash
              C&C
              全民彩票手机版

                                      辽宁35选7qq群 山西11选5前三直遗漏 山东快乐扑克3走势图网易彩票 任选9场12073期 排列三走势图新浪网 冰球护具包 中国足彩网手机版下载 12选五胆拖中奖规则 快彩乐老11选5遗漏 3d快3 彩票中奖一亿怎么领奖 时时彩计划软件 青海快三最新开奖 九龙公开一码中特 江苏11选5加奖