北京pk拾冠亚和怎么刷 北京pk10不能下大注 北京pk10冠军单调计算 北京pk10谁控制的 pk10平刷不加倍教程 pk10稳赚技巧方案 pk10个人投注心得分享 pk10九码滚雪球技巧 北京pk拾七码雪球计划 pk10为何前赢后输 全天北京pk10平刷计划 北京pk10单双技巧 9码滚雪球赚六十万 北京pk10两个平台对刷 北京pk10单吊一码倍投 北京 pk10怎么玩 北京pk10平投怎么赢 pk10四码两期版计划 北京一分钟赛车彩票 北京pk10计划怎么倍投 pk10免费计划软件 全天pk10最精准非凡 北京pk10输死多少人 pk10预测软件 北京pk10技巧5码选位置 北京pk10四码两期计划 北京pk10如何做到稳赢 北京寨车PK10开奖结果 pk10一天赚300好搞吗 北京pk10买9码稳中方法
最新病毒库日期:
  • Clop勒索病毒分析报告
2019-02-27 15:36 来源:未知
【文章摘要】样本信息 样本名称: ClopRansomware.exe 样本家族: Clop 样本类型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

样本信息

样本名称:ClopRansomware.exe
样本家族:Clop
样本类型:勒索病毒。
MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件类型:PE EXE。
文件大小:109,896  字节
传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
样本来源:互联网
发现时间:2019.02.22
入库时间:2016.02.25
C2服务器:暂无 

样本概况

Clop是一个勒索病毒,病毒主要通过CR4\RSA?#29992;?#31639;法?#28304;?#30424;及共享磁盘下的所有非白名单的文件进行?#29992;堋?#30149;毒会结束一些可能占用文件导致?#29992;?#22833;败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运?#32961;?#33267;崩溃。目前发现该病毒多种变种,主要是改变了运行方式及?#29992;?#30340;公钥。该病毒还配有合法有效的数?#26234;?#21517;。
 

样本危害

该样本会?#29992;?#30913;盘上的文件,并生成勒索文档,由于?#29992;?#31639;法的特殊性,?#29992;?#30340;Key是根据原文件自己计算得出,所以基本无解密的可能性。

应?#28304;?#26045;及建议

1). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
2). 尽量把文件设置为显示后缀,?#21592;?#20813;误点类似的伪装为文件夹的病毒。
3). 大部分的病毒?#22841;?#35201;以管理员身份运行,正常情况下使用计算机?#26412;?#37327;不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4). 在使用移动介?#26159;埃?#24212;对移动介质内文件进行扫描确认不携带病毒文件。
5). 网络文件服务器,共享文件夹尽?#21487;?#32622;密码并避免使用弱密码。
6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8). 不要?#30828;?#21487;靠的渠道下载软件,因为这些软件很可能是带有病毒的。

行为概述

文件行为

1). ?#29992;?#30913;盘中所有文件并生成 “文件名”+.Clop后缀的文件
2). 生成勒索病毒文本ClopReadMe.txt
 

进程行为

执行磁盘及网络磁盘的遍历,进行?#29992;埽?#36827;程名为病毒本身名字。
另外个别变种会创建名为SecurityCenterIBM的服务。

注册表行为

网络行为

详细分析报告

病毒执行流程:
 
 
 
 
由于该病毒有多个变种,但病毒主体?#29992;?#20195;码基本一致,只有修改了代码运行的流程和运行方式,使其特征更难被发现。下面将?#20113;?#20013;的2个变种进行详细分析。
 
变种一ClopRansomware文件分析:
 
1、样本也是同样先获取进程及线程,作了一些无用操作,并且循环666000?#21361;?#26469;拖延时间反沙箱。

 
 
2、然后大量结束可能会占用文件的办公软件及数据库进程,来确保下面的感染过程顺利进行

 
3、KillProcess_By_Name函数内部:
 
 
4、然后创建互斥体CLOP#666检测样本是否已经运行

 
 
5、然后创建进程调用?#29992;?#20989;数,?#29992;?#32593;络共享磁盘

 
 
5.1线程内部:

 
 
5.2?#27602;?#32593;络共享磁盘,并调用Encryption_sub_40B480进行?#29992;埽用?#36807;程和下方遍历本地磁盘的过程相同,稍后详细分析。

 
 
6、?#27602;?#26412;地磁盘,并开启线程进行?#29992;?/strong>

 
6.1开启线程内部:

 
 
Sub_40BE90函数内部先判?#19979;?#24452;,再判断文件,避免?#29992;?#20102;系统和关键文件,导致系统崩溃

 
如果不在排出列表内,则开启线程进行?#29992;?br />  
 
详细分析StartAddress开启的线程
6.1先设置文件属性可读可写,然后通过映像的方式打开文件
 
 
6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten
 
 

6.3并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密?#36164;?#36133;则使用默认密匙

 
 
 
6.4 sub_40D2E0则为?#29992;?#25991;件的主体过程,稍后详细分析?#29992;?#36807;程

 
 
6.5在当前路径下从?#35797;?#20013;寻找SIXSIX解密后生成ClopReadMe.txt勒索文档

 
 
6.6创建文件,名字为原始文件名+.Clop,将?#29992;?#30340;内容写入,并删除原始文件

 
 
 
7、然后获取了个指定的路径进行?#29992;?/strong>
 
 
8、sub_40D2E0?#29992;?#20989;数的详细过程
8.1在获取详细密匙后,先填充了Sbox,然后用密匙key打乱Sbox
 
 
 
8.2 然后调用sub_40D330进行?#29992;?/strong>
 
 
 
由于?#29992;?#25152;用的密匙Key为根据原文件获取,且认为每个文件都是唯一的,除非有原文件,才能解密出Key,所以基本无解密文件的可能。
 
变种二gmontraff.exe文件分析:
 
变种二主要是在变种一的前提下,增加了环境的判断,更换了指定的变量名,更换了RC4的密钥提取长度,并添加了一个服务作为感染运行的主体
 
1、样本先检查了是否有可运行的环?#24120;?#22914;果不具备,则修改全路径参数,重新运行样本
 
函数sub_40D6A0修改全路径参数并运行:
 
 
2、然后该样本会创建一个名为“SecurityCenterIBM”的服务,并启动服务
 
 
3、sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程
 
 
4、相信分析线程的回调函数代码,发现样本先创建文件,获取本线程等等,并且循环了666000?#21361;?#26159;为了反沙箱检测,并没有的?#23548;?#30340;作用。
 
 
 
5、然后执行的sub_40E590函数从?#35797;?#25991;件中加载SIXSIX1的文件,并解密该文件,解密完成后打开该文件,为勒索文档。
 
 
 
 
6、检查互斥体MoneyP#666是否存在,来验证?#29992;?#31243;序是否在运行,如果在运行就退出
 
 
 
7、病毒运行后创建进程大量结束占用文件的进程
 
 
 
8、然后创建线程?#27602;?#20849;享网络磁盘进行?#29992;?/strong>
 
 
 
9、遍历本地磁盘进行文件?#29992;?/strong>
 
 
10、获取指定磁盘路径进行?#29992;埽?#24182;生成勒索文本
 

总结

这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏?#32961;?#20316;都不具备,所以增加了查杀变种的?#35759;取?br /> 目?#26696;?#30149;毒?#29992;?#21518;,虽然发了勒索文档,但是由于?#29992;?#30340;特殊性,基本无法解密。

附录

Hash
C&C
北京pk拾冠亚和怎么刷
魔兽争霸3冰封王座1.20e下载 魔兽世界猎人幻化 招财进宝走势图 剑网3指尖江湖井水 鲁能对鹿岛鹿角集锦 德州扑克总督android 自学做棋牌app 北京快乐8开奖号码 御龙在天cdk 怪物赛车怎么玩 奥运会网球比分规则 棋牌代理骗局