1. <em id="5aa8d"></em>

          <em id="5aa8d"><tr id="5aa8d"></tr></em>
          <em id="5aa8d"><tr id="5aa8d"></tr></em>

              1. <em id="usmhs"><ol id="usmhs"></ol></em>
                1. <div id="usmhs"></div>
                  1. <legend id="usmhs"><form id="usmhs"></form></legend>
                          1. <div id="ek0og"></div>
                            <div id="ek0og"><tr id="ek0og"><object id="ek0og"></object></tr></div>

                          2. <em id="ek0og"></em>

                            <dfn id="uqdk8"></dfn>

                            <div id="uqdk8"></div>

                          3. <div id="uqdk8"></div>
                            <sup id="auvui"></sup>
                            <div id="auvui"><tr id="auvui"><kbd id="auvui"></kbd></tr></div>

                            1. <em id="auvui"><ol id="auvui"></ol></em>

                                1. <div id="auvui"></div>

                                    <div id="osoaw"><ol id="osoaw"></ol></div><dd id="osoaw"></dd>
                                      <dd id="osoaw"><tr id="osoaw"></tr></dd>

                                      <dd id="osoaw"><legend id="osoaw"></legend></dd>

                                        1. <sup id="yfiuy"></sup>
                                        2. <dl id="yfiuy"><ins id="yfiuy"></ins></dl>
                                          <dl id="yfiuy"><menu id="yfiuy"></menu></dl>
                                          <div id="yfiuy"><s id="yfiuy"></s></div>
                                          <dl id="k511r"></dl><optgroup id="k511r"></optgroup>
                                          <sup id="k511r"></sup>
                                        3. <progress id="k511r"></progress>
                                          <dl id="k511r"><ins id="k511r"></ins></dl>
                                        4. <sup id="jxfeb"><menu id="jxfeb"></menu></sup>
                                          <li id="jxfeb"></li>
                                        5. <li id="jxfeb"></li>
                                          <li id="jxfeb"></li>
                                          <sup id="jxfeb"><ins id="jxfeb"></ins></sup>
                                        6. <sup id="jmi06"></sup>
                                        7. <div id="jmi06"><tr id="jmi06"></tr></div>
                                        8. <dl id="hqc0d"><ins id="hqc0d"></ins></dl>
                                        9. <dl id="rixhw"></dl>
                                          <div id="rixhw"><tr id="rixhw"><object id="rixhw"></object></tr></div>
                                        10. <dl id="rixhw"><ins id="rixhw"><thead id="rixhw"></thead></ins></dl>
                                        11. <dl id="rixhw"><ins id="rixhw"></ins></dl><dl id="rixhw"><ins id="rixhw"><thead id="rixhw"></thead></ins></dl>
                                        12. <li id="rixhw"></li>
                                          <div id="rixhw"><s id="rixhw"></s></div><li id="rixhw"><s id="rixhw"></s></li>
                                        13. <div id="5zohc"><s id="5zohc"></s></div>
                                          <dl id="5zohc"><ins id="5zohc"><thead id="5zohc"></thead></ins></dl>
                                          <dl id="5zohc"><ins id="5zohc"><thead id="5zohc"></thead></ins></dl><li id="5zohc"><s id="5zohc"></s></li>
                                        14. <li id="5zohc"></li>
                                        15. <li id="0mezq"></li>
                                        16. <div id="0mezq"><tr id="0mezq"><strong id="0mezq"></strong></tr></div>
                                          <div id="0mezq"></div><li id="0mezq"><tr id="0mezq"></tr></li>
                                          <li id="0mezq"><tr id="0mezq"></tr></li>
                                        17. <sup id="0mezq"><ins id="0mezq"></ins></sup>
                                        18. <li id="0mezq"><ins id="0mezq"></ins></li>
                                        19. <div id="ugihw"><tr id="ugihw"></tr></div>
                                          <dl id="ugihw"></dl>
                                          <dl id="ugihw"><ins id="ugihw"><thead id="ugihw"></thead></ins></dl>
                                        20. <li id="ugihw"></li>
                                        21. <dl id="ugihw"></dl>
                                          <li id="igdvu"></li>
                                        22. <label id="igdvu"><tbody id="igdvu"></tbody></label>
                                          <li id="igdvu"></li>
                                          <dl id="igdvu"><ins id="igdvu"><thead id="igdvu"></thead></ins></dl>
                                          <div id="qc91r"><tr id="qc91r"></tr></div>
                                        23. <dl id="qc91r"></dl>
                                        24. <code id="qc91r"></code>
                                        25. <div id="qc91r"></div>
                                          <div id="wssbt"><tr id="wssbt"></tr></div>
                                        26. <li id="wssbt"></li><menuitem id="wssbt"><ruby id="wssbt"></ruby></menuitem>
                                          <div id="wssbt"><tr id="wssbt"></tr></div>
                                          <dl id="wssbt"><ins id="wssbt"><thead id="wssbt"></thead></ins></dl>
                                        27. <sup id="wssbt"><menu id="wssbt"></menu></sup>
                                          <dl id="wssbt"></dl>
                                        28. <li id="bisqg"></li>
                                        29. <dl id="bisqg"><menu id="bisqg"><small id="bisqg"></small></menu></dl>
                                        30. <menuitem id="2ul1s"></menuitem>
                                        31. <div id="2ul1s"><tr id="2ul1s"></tr></div>
                                          <div id="2ul1s"></div>
                                          <dl id="2ul1s"><ins id="2ul1s"></ins></dl>
                                        32. <dl id="2ul1s"><ins id="2ul1s"><small id="2ul1s"></small></ins></dl><dl id="2ul1s"></dl>
                                          <dl id="2ul1s"><menu id="2ul1s"><td id="2ul1s"></td></menu></dl>
                                        33. <dl id="2ul1s"><ins id="2ul1s"><td id="2ul1s"></td></ins></dl>
                                          <dl id="2ul1s"><ins id="2ul1s"></ins></dl>
                                          <dl id="eyeur"></dl>
                                        34. <li id="eyeur"></li>
                                          <li id="eyeur"></li>
                                          <dl id="eyeur"></dl>
                                        35. <li id="eyeur"></li>
                                        36. <li id="eyeur"><s id="eyeur"></s></li>
                                          <dl id="eyeur"><menu id="eyeur"><thead id="eyeur"></thead></menu></dl>
                                          <sup id="eyeur"><ins id="eyeur"></ins></sup>
                                          <dl id="eyeur"></dl>
                                          <dl id="pk26s"></dl>
                                        37. <li id="pk26s"><s id="pk26s"></s></li>
                                          <li id="pk26s"><span id="pk26s"></span></li><dl id="pk26s"><tr id="pk26s"></tr></dl>
                                          <li id="pk26s"><s id="pk26s"></s></li>
                                        38. <dl id="pk26s"></dl>
                                        39. <li id="pk26s"><s id="pk26s"></s></li><dl id="pk26s"><ins id="pk26s"></ins></dl>
                                        40. <dl id="pk26s"><ins id="pk26s"></ins></dl>
                                        41. <center id="2uyw8"></center>
                                          <optgroup id="2uyw8"></optgroup><center id="2uyw8"></center>
                                          <center id="2uyw8"></center><optgroup id="2uyw8"></optgroup>
                                          最新病毒庫日期:
                                          • Clop勒索病毒分析報告
                                          2019-02-27 15:36 來源:未知
                                          【文章摘要】樣本信息 樣本名稱: ClopRansomware.exe 樣本家族: Clop 樣本類型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

                                          樣本信息

                                          樣本名稱:ClopRansomware.exe
                                          樣本家族:Clop
                                          樣本類型:勒索病毒。
                                          MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
                                          8752A7A052BA75239B86B0DA1D483DD7
                                          SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
                                          6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
                                          文件類型:PE EXE。
                                          文件大小:109,896  字節
                                          傳播途徑:網頁掛馬、下載器下載等、U盤傳播、貢獻文件傳播等
                                          專殺信息:暫無
                                          影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
                                          樣本來源:互聯網
                                          發現時間:2019.02.22
                                          入庫時間:2016.02.25
                                          C2服務器:暫無 

                                          樣本概況

                                          Clop是一個勒索病毒,病毒主要通過CR4\RSA加密算法對磁盤及共享磁盤下的所有非白名單的文件進行加密。病毒會結束一些可能占用文件導致加密失敗的進程,并排除掉指定路徑及文件(白名單)來保證系統正常運行不至崩潰。目前發現該病毒多種變種,主要是改變了運行方式及加密的公鑰。該病毒還配有合法有效的數字簽名。
                                           

                                          樣本危害

                                          該樣本會加密磁盤上的文件,并生成勒索文檔,由于加密算法的特殊性,加密的Key是根據原文件自己計算得出,所以基本無解密的可能性。

                                          應對措施及建議

                                          1). 安裝防毒殺毒軟件并將病毒庫升級為最新版本,并定期對計算機進行全盤掃描。
                                          2). 盡量把文件設置為顯示后綴,以避免誤點類似的偽裝為文件夾的病毒。
                                          3). 大部分的病毒都需要以管理員身份運行,正常情況下使用計算機時盡量不使用超級管理員權限登錄,在UAC彈窗的提示下盡量確認文件的安全性再運行文件。
                                          4). 在使用移動介質前,應對移動介質內文件進行掃描確認不攜帶病毒文件。
                                          5). 網絡文件服務器,共享文件夾盡量設置密碼并避免使用弱密碼。
                                          6). 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
                                          7). 為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
                                          8). 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。

                                          行為概述

                                          文件行為

                                          1). 加密磁盤中所有文件并生成 “文件名”+.Clop后綴的文件
                                          2). 生成勒索病毒文本ClopReadMe.txt
                                           

                                          進程行為

                                          執行磁盤及網絡磁盤的遍歷,進行加密,進程名為病毒本身名字。
                                          另外個別變種會創建名為SecurityCenterIBM的服務。

                                          注冊表行為

                                          網絡行為

                                          詳細分析報告

                                          病毒執行流程:
                                           
                                           
                                           
                                           
                                          由于該病毒有多個變種,但病毒主體加密代碼基本一致,只有修改了代碼運行的流程和運行方式,使其特征更難被發現。下面將對其中的2個變種進行詳細分析。
                                           
                                          變種一ClopRansomware文件分析:
                                           
                                          1、樣本也是同樣先獲取進程及線程,作了一些無用操作,并且循環666000次,來拖延時間反沙箱。

                                           
                                           
                                          2、然后大量結束可能會占用文件的辦公軟件及數據庫進程,來確保下面的感染過程順利進行

                                           
                                          3、KillProcess_By_Name函數內部:
                                           
                                           
                                          4、然后創建互斥體CLOP#666檢測樣本是否已經運行

                                           
                                           
                                          5、然后創建進程調用加密函數,加密網絡共享磁盤

                                           
                                           
                                          5.1線程內部:

                                           
                                           
                                          5.2枚舉網絡共享磁盤,并調用Encryption_sub_40B480進行加密,加密過程和下方遍歷本地磁盤的過程相同,稍后詳細分析。

                                           
                                           
                                          6、枚舉本地磁盤,并開啟線程進行加密

                                           
                                          6.1開啟線程內部:

                                           
                                           
                                          Sub_40BE90函數內部先判斷路徑,再判斷文件,避免加密了系統和關鍵文件,導致系統崩潰

                                           
                                          如果不在排出列表內,則開啟線程進行加密
                                           
                                           
                                          詳細分析StartAddress開啟的線程
                                          6.1先設置文件屬性可讀可寫,然后通過映像的方式打開文件
                                           
                                           
                                          6.2調用sub_40D200函數使用RC4算法獲取公鑰存放在NumberOfBytesWritten
                                           
                                           

                                          6.3并導出密匙的前0x75個字節作為RC4的密匙,如果使用WindowsAPI的函數導出密匙失敗則使用默認密匙

                                           
                                           
                                           
                                          6.4 sub_40D2E0則為加密文件的主體過程,稍后詳細分析加密過程

                                           
                                           
                                          6.5在當前路徑下從資源中尋找SIXSIX解密后生成ClopReadMe.txt勒索文檔

                                           
                                           
                                          6.6創建文件,名字為原始文件名+.Clop,將加密的內容寫入,并刪除原始文件

                                           
                                           
                                           
                                          7、然后獲取了個指定的路徑進行加密
                                           
                                           
                                          8、sub_40D2E0加密函數的詳細過程
                                          8.1在獲取詳細密匙后,先填充了Sbox,然后用密匙key打亂Sbox
                                           
                                           
                                           
                                          8.2 然后調用sub_40D330進行加密
                                           
                                           
                                           
                                          由于加密所用的密匙Key為根據原文件獲取,且認為每個文件都是唯一的,除非有原文件,才能解密出Key,所以基本無解密文件的可能。
                                           
                                          變種二gmontraff.exe文件分析:
                                           
                                          變種二主要是在變種一的前提下,增加了環境的判斷,更換了指定的變量名,更換了RC4的密鑰提取長度,并添加了一個服務作為感染運行的主體
                                           
                                          1、樣本先檢查了是否有可運行的環境,如果不具備,則修改全路徑參數,重新運行樣本
                                           
                                          函數sub_40D6A0修改全路徑參數并運行:
                                           
                                           
                                          2、然后該樣本會創建一個名為“SecurityCenterIBM”的服務,并啟動服務
                                           
                                           
                                          3、sub_40D770函數就是服務運行的主體代碼,服務內部開啟了一個線程
                                           
                                           
                                          4、相信分析線程的回調函數代碼,發現樣本先創建文件,獲取本線程等等,并且循環了666000次,是為了反沙箱檢測,并沒有的實際的作用。
                                           
                                           
                                           
                                          5、然后執行的sub_40E590函數從資源文件中加載SIXSIX1的文件,并解密該文件,解密完成后打開該文件,為勒索文檔。
                                           
                                           
                                           
                                           
                                          6、檢查互斥體MoneyP#666是否存在,來驗證加密程序是否在運行,如果在運行就退出
                                           
                                           
                                           
                                          7、病毒運行后創建進程大量結束占用文件的進程
                                           
                                           
                                           
                                          8、然后創建線程枚舉共享網絡磁盤進行加密
                                           
                                           
                                           
                                          9、遍歷本地磁盤進行文件加密
                                           
                                           
                                          10、獲取指定磁盤路徑進行加密,并生成勒索文本
                                           

                                          總結

                                          這是2019年比較新的勒索病毒,主要在韓國傳播,近期有向國內傳播的趨勢,且發現多個變種。變種主要更改執行流程和部分特征來達到躲避檢測的目的,且該邊度很多危險行為,比如開機啟動,拷貝自身文件等敏感操作都不具備,所以增加了查殺變種的難度。
                                          目前該病毒加密后,雖然發了勒索文檔,但是由于加密的特殊性,基本無法解密。

                                          附錄

                                          Hash
                                          C&C
                                          pk10app