Clop勒索病毒分析報(bào)告
2019-02-27?來源:安全資訊
樣本信息 樣本名稱: ClopRansomware.exe 樣本家族: Clop 樣本類型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02
樣本信息
樣本名稱:ClopRansomware.exe樣本家族:Clop
樣本類型:勒索病毒。
MD5: 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件類型:PE EXE。
文件大小:109,896 字節(jié)
傳播途徑:網(wǎng)頁(yè)掛馬、下載器下載等、U盤傳播、貢獻(xiàn)文件傳播等
專殺信息:暫無
影響系統(tǒng):Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
樣本來源:互聯(lián)網(wǎng)
發(fā)現(xiàn)時(shí)間:2019.02.22
入庫(kù)時(shí)間:2016.02.25
C2服務(wù)器:暫無
樣本概況
Clop是一個(gè)勒索病毒,病毒主要通過CR4\RSA加密算法對(duì)磁盤及共享磁盤下的所有非白名單的文件進(jìn)行加密。病毒會(huì)結(jié)束一些可能占用文件導(dǎo)致加密失敗的進(jìn)程,并排除掉指定路徑及文件(白名單)來保證系統(tǒng)正常運(yùn)行不至崩潰。目前發(fā)現(xiàn)該病毒多種變種,主要是改變了運(yùn)行方式及加密的公鑰。該病毒還配有合法有效的數(shù)字簽名。
樣本危害
該樣本會(huì)加密磁盤上的文件,并生成勒索文檔,由于加密算法的特殊性,加密的Key是根據(jù)原文件自己計(jì)算得出,所以基本無解密的可能性。應(yīng)對(duì)措施及建議
1). 安裝防毒殺毒軟件并將病毒庫(kù)升級(jí)為最新版本,并定期對(duì)計(jì)算機(jī)進(jìn)行全盤掃描。2). 盡量把文件設(shè)置為顯示后綴,以避免誤點(diǎn)類似的偽裝為文件夾的病毒。
3). 大部分的病毒都需要以管理員身份運(yùn)行,正常情況下使用計(jì)算機(jī)時(shí)盡量不使用超級(jí)管理員權(quán)限登錄,在UAC彈窗的提示下盡量確認(rèn)文件的安全性再運(yùn)行文件。
4). 在使用移動(dòng)介質(zhì)前,應(yīng)對(duì)移動(dòng)介質(zhì)內(nèi)文件進(jìn)行掃描確認(rèn)不攜帶病毒文件。
5). 網(wǎng)絡(luò)文件服務(wù)器,共享文件夾盡量設(shè)置密碼并避免使用弱密碼。
6). 現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒,所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。
7). 為本機(jī)管理員賬號(hào)設(shè)置較為復(fù)雜的密碼,預(yù)防病毒通過密碼猜測(cè)進(jìn)行傳播,最好是數(shù)字與字母組合的密碼。
8). 不要從不可靠的渠道下載軟件,因?yàn)檫@些軟件很可能是帶有病毒的。
行為概述
文件行為
1). 加密磁盤中所有文件并生成 “文件名”+.Clop后綴的文件2). 生成勒索病毒文本ClopReadMe.txt
進(jìn)程行為
執(zhí)行磁盤及網(wǎng)絡(luò)磁盤的遍歷,進(jìn)行加密,進(jìn)程名為病毒本身名字。另外個(gè)別變種會(huì)創(chuàng)建名為SecurityCenterIBM的服務(wù)。
注冊(cè)表行為
無
網(wǎng)絡(luò)行為
無
詳細(xì)分析報(bào)告
病毒執(zhí)行流程:
由于該病毒有多個(gè)變種,但病毒主體加密代碼基本一致,只有修改了代碼運(yùn)行的流程和運(yùn)行方式,使其特征更難被發(fā)現(xiàn)。下面將對(duì)其中的2個(gè)變種進(jìn)行詳細(xì)分析。
變種一ClopRansomware文件分析:
1、樣本也是同樣先獲取進(jìn)程及線程,作了一些無用操作,并且循環(huán)666000次,來拖延時(shí)間反沙箱。
2、然后大量結(jié)束可能會(huì)占用文件的辦公軟件及數(shù)據(jù)庫(kù)進(jìn)程,來確保下面的感染過程順利進(jìn)行
3、KillProcess_By_Name函數(shù)內(nèi)部:
4、然后創(chuàng)建互斥體CLOP#666檢測(cè)樣本是否已經(jīng)運(yùn)行
5、然后創(chuàng)建進(jìn)程調(diào)用加密函數(shù),加密網(wǎng)絡(luò)共享磁盤
5.1線程內(nèi)部:
5.2枚舉網(wǎng)絡(luò)共享磁盤,并調(diào)用Encryption_sub_40B480進(jìn)行加密,加密過程和下方遍歷本地磁盤的過程相同,稍后詳細(xì)分析。
6、枚舉本地磁盤,并開啟線程進(jìn)行加密
6.1開啟線程內(nèi)部:
Sub_40BE90函數(shù)內(nèi)部先判斷路徑,再判斷文件,避免加密了系統(tǒng)和關(guān)鍵文件,導(dǎo)致系統(tǒng)崩潰
如果不在排出列表內(nèi),則開啟線程進(jìn)行加密
詳細(xì)分析StartAddress開啟的線程
6.1先設(shè)置文件屬性可讀可寫,然后通過映像的方式打開文件
6.2調(diào)用sub_40D200函數(shù)使用RC4算法獲取公鑰存放在NumberOfBytesWritten中
6.3并導(dǎo)出密匙的前0x75個(gè)字節(jié)作為RC4的密匙,如果使用WindowsAPI的函數(shù)導(dǎo)出密匙失敗則使用默認(rèn)密匙
6.4 sub_40D2E0則為加密文件的主體過程,稍后詳細(xì)分析加密過程
6.5在當(dāng)前路徑下從資源中尋找SIXSIX解密后生成ClopReadMe.txt勒索文檔
6.6創(chuàng)建文件,名字為原始文件名+.Clop,將加密的內(nèi)容寫入,并刪除原始文件
7、然后獲取了個(gè)指定的路徑進(jìn)行加密
8、sub_40D2E0加密函數(shù)的詳細(xì)過程
8.1在獲取詳細(xì)密匙后,先填充了Sbox,然后用密匙key打亂Sbox
8.2 然后調(diào)用sub_40D330進(jìn)行加密
由于加密所用的密匙Key為根據(jù)原文件獲取,且認(rèn)為每個(gè)文件都是唯一的,除非有原文件,才能解密出Key,所以基本無解密文件的可能。
變種二gmontraff.exe文件分析:
變種二主要是在變種一的前提下,增加了環(huán)境的判斷,更換了指定的變量名,更換了RC4的密鑰提取長(zhǎng)度,并添加了一個(gè)服務(wù)作為感染運(yùn)行的主體
1、樣本先檢查了是否有可運(yùn)行的環(huán)境,如果不具備,則修改全路徑參數(shù),重新運(yùn)行樣本
函數(shù)sub_40D6A0修改全路徑參數(shù)并運(yùn)行:
2、然后該樣本會(huì)創(chuàng)建一個(gè)名為“SecurityCenterIBM”的服務(wù),并啟動(dòng)服務(wù)
3、sub_40D770函數(shù)就是服務(wù)運(yùn)行的主體代碼,服務(wù)內(nèi)部開啟了一個(gè)線程
4、相信分析線程的回調(diào)函數(shù)代碼,發(fā)現(xiàn)樣本先創(chuàng)建文件,獲取本線程等等,并且循環(huán)了666000次,是為了反沙箱檢測(cè),并沒有的實(shí)際的作用。
5、然后執(zhí)行的sub_40E590函數(shù)從資源文件中加載SIXSIX1的文件,并解密該文件,解密完成后打開該文件,為勒索文檔。
6、檢查互斥體MoneyP#666是否存在,來驗(yàn)證加密程序是否在運(yùn)行,如果在運(yùn)行就退出
7、病毒運(yùn)行后創(chuàng)建進(jìn)程大量結(jié)束占用文件的進(jìn)程
8、然后創(chuàng)建線程枚舉共享網(wǎng)絡(luò)磁盤進(jìn)行加密
9、遍歷本地磁盤進(jìn)行文件加密
10、獲取指定磁盤路徑進(jìn)行加密,并生成勒索文本
總結(jié)
這是2019年比較新的勒索病毒,主要在韓國(guó)傳播,近期有向國(guó)內(nèi)傳播的趨勢(shì),且發(fā)現(xiàn)多個(gè)變種。變種主要更改執(zhí)行流程和部分特征來達(dá)到躲避檢測(cè)的目的,且該邊度很多危險(xiǎn)行為,比如開機(jī)啟動(dòng),拷貝自身文件等敏感操作都不具備,所以增加了查殺變種的難度。目前該病毒加密后,雖然發(fā)了勒索文檔,但是由于加密的特殊性,基本無法解密。
附錄
Hash
C&C
