Clop勒索病毒分析報告
2019-02-27?來源:安全資訊
樣本信息 樣本名稱: ClopRansomware.exe 樣本家族: Clop 樣本類型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02
樣本信息
樣本名稱:ClopRansomware.exe樣本家族:Clop
樣本類型:勒索病毒。
MD5: 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件類型:PE EXE。
文件大小:109,896 字節
傳播途徑:網頁掛馬、下載器下載等、U盤傳播、貢獻文件傳播等
專殺信息:暫無
影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
樣本來源:互聯網
發現時間:2019.02.22
入庫時間:2016.02.25
C2服務器:暫無
樣本概況
Clop是一個勒索病毒,病毒主要通過CR4\RSA加密算法對磁盤及共享磁盤下的所有非白名單的文件進行加密。病毒會結束一些可能占用文件導致加密失敗的進程,并排除掉指定路徑及文件(白名單)來保證系統正常運行不至崩潰。目前發現該病毒多種變種,主要是改變了運行方式及加密的公鑰。該病毒還配有合法有效的數字簽名。
樣本危害
該樣本會加密磁盤上的文件,并生成勒索文檔,由于加密算法的特殊性,加密的Key是根據原文件自己計算得出,所以基本無解密的可能性。應對措施及建議
1). 安裝防毒殺毒軟件并將病毒庫升級為最新版本,并定期對計算機進行全盤掃描。2). 盡量把文件設置為顯示后綴,以避免誤點類似的偽裝為文件夾的病毒。
3). 大部分的病毒都需要以管理員身份運行,正常情況下使用計算機時盡量不使用超級管理員權限登錄,在UAC彈窗的提示下盡量確認文件的安全性再運行文件。
4). 在使用移動介質前,應對移動介質內文件進行掃描確認不攜帶病毒文件。
5). 網絡文件服務器,共享文件夾盡量設置密碼并避免使用弱密碼。
6). 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
7). 為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
8). 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
行為概述
文件行為
1). 加密磁盤中所有文件并生成 “文件名”+.Clop后綴的文件2). 生成勒索病毒文本ClopReadMe.txt
進程行為
執行磁盤及網絡磁盤的遍歷,進行加密,進程名為病毒本身名字。另外個別變種會創建名為SecurityCenterIBM的服務。
注冊表行為
無
網絡行為
無
詳細分析報告
病毒執行流程:
由于該病毒有多個變種,但病毒主體加密代碼基本一致,只有修改了代碼運行的流程和運行方式,使其特征更難被發現。下面將對其中的2個變種進行詳細分析。
變種一ClopRansomware文件分析:
1、樣本也是同樣先獲取進程及線程,作了一些無用操作,并且循環666000次,來拖延時間反沙箱。
2、然后大量結束可能會占用文件的辦公軟件及數據庫進程,來確保下面的感染過程順利進行
3、KillProcess_By_Name函數內部:
4、然后創建互斥體CLOP#666檢測樣本是否已經運行
5、然后創建進程調用加密函數,加密網絡共享磁盤
5.1線程內部:
5.2枚舉網絡共享磁盤,并調用Encryption_sub_40B480進行加密,加密過程和下方遍歷本地磁盤的過程相同,稍后詳細分析。
6、枚舉本地磁盤,并開啟線程進行加密
6.1開啟線程內部:
Sub_40BE90函數內部先判斷路徑,再判斷文件,避免加密了系統和關鍵文件,導致系統崩潰
如果不在排出列表內,則開啟線程進行加密
詳細分析StartAddress開啟的線程
6.1先設置文件屬性可讀可寫,然后通過映像的方式打開文件
6.2調用sub_40D200函數使用RC4算法獲取公鑰存放在NumberOfBytesWritten中
6.3并導出密匙的前0x75個字節作為RC4的密匙,如果使用WindowsAPI的函數導出密匙失敗則使用默認密匙
6.4 sub_40D2E0則為加密文件的主體過程,稍后詳細分析加密過程
6.5在當前路徑下從資源中尋找SIXSIX解密后生成ClopReadMe.txt勒索文檔
6.6創建文件,名字為原始文件名+.Clop,將加密的內容寫入,并刪除原始文件
7、然后獲取了個指定的路徑進行加密
8、sub_40D2E0加密函數的詳細過程
8.1在獲取詳細密匙后,先填充了Sbox,然后用密匙key打亂Sbox
8.2 然后調用sub_40D330進行加密
由于加密所用的密匙Key為根據原文件獲取,且認為每個文件都是唯一的,除非有原文件,才能解密出Key,所以基本無解密文件的可能。
變種二gmontraff.exe文件分析:
變種二主要是在變種一的前提下,增加了環境的判斷,更換了指定的變量名,更換了RC4的密鑰提取長度,并添加了一個服務作為感染運行的主體
1、樣本先檢查了是否有可運行的環境,如果不具備,則修改全路徑參數,重新運行樣本
函數sub_40D6A0修改全路徑參數并運行:
2、然后該樣本會創建一個名為“SecurityCenterIBM”的服務,并啟動服務
3、sub_40D770函數就是服務運行的主體代碼,服務內部開啟了一個線程
4、相信分析線程的回調函數代碼,發現樣本先創建文件,獲取本線程等等,并且循環了666000次,是為了反沙箱檢測,并沒有的實際的作用。
5、然后執行的sub_40E590函數從資源文件中加載SIXSIX1的文件,并解密該文件,解密完成后打開該文件,為勒索文檔。
6、檢查互斥體MoneyP#666是否存在,來驗證加密程序是否在運行,如果在運行就退出
7、病毒運行后創建進程大量結束占用文件的進程
8、然后創建線程枚舉共享網絡磁盤進行加密
9、遍歷本地磁盤進行文件加密
10、獲取指定磁盤路徑進行加密,并生成勒索文本
總結
這是2019年比較新的勒索病毒,主要在韓國傳播,近期有向國內傳播的趨勢,且發現多個變種。變種主要更改執行流程和部分特征來達到躲避檢測的目的,且該邊度很多危險行為,比如開機啟動,拷貝自身文件等敏感操作都不具備,所以增加了查殺變種的難度。目前該病毒加密后,雖然發了勒索文檔,但是由于加密的特殊性,基本無法解密。
附錄
Hash
C&C
