近日,浩海云™攻防实验室捕获到新型变种的Clop勒索病毒,该病毒采用国外公司的有效数字签名进行伪装,导致病毒可以绕过部分安全软件的拦截,从而造成大范围的危害。

目前已有国内某大型企业全网感染该病毒,企业内网终端系统上的数据全部被加密,目前暂时没有针对该病毒的解密工具。

该Clop病毒采用RC4算法对终端的数据文件进行加密,在病毒中内置了RSA公钥对RC4的秘钥进行加密,并存储到被加密文件的末尾。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

病毒MD5值:

8752A7A052BA75239B86B0DA1D483DD7

浩海云™攻防实验室安全专家针对病毒文件的静态逆向分析和动态运行分析,对病毒的核心机制进行了深入的分析,并且针对性地给出了防护建议,防护建议请见文末。

一、病毒核心逆向分析

第一步:

病毒在运行后,首先会执行一些无意义的操作,通过拖延时间来对抗安全软件的沙箱检测,当安全软件在沙箱中认为病毒没有危害动作时,病毒才开始执行恶意操作。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

第二步:

绕过沙箱检验后,病毒首先会将终端系统中常见的数据库、办公软件等进行全部关闭,防止这些进程占用文件,导致病毒的加密操作失败。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

如上逆向代码显示,病毒强制关闭的进程包括例如mysql数据库、Outlook邮件软件、OneNote软件等,

第三步:

病毒程序遍历当前终端系统的磁盘,从根目录开始,对匹配到条件的文件进行高强度加密。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

第四步:

病毒程序遍历枚举当前系统可达的网络共享磁盘,对匹配到条件的文件进行高强度加密。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

第五步:

遍历完所有需要加密的文件后,调用加密函数对文件进行加密。在病毒代码中会将系统相关的文件夹列入白名单,在加密时排除操作,以保证系统在加密后还能继续使用。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

目录白名单如下:

Chrome、Mozilla、Recycle.bin、Microsoft、AhnLab、All Users、ProgramData、Program Files(x86)、PROGRAM FILES (X86)、Program Files、PROGRAM FILES

在加密执行时,还会判断文件后缀,针对没有加密价值的后缀都会放弃加密,例如下面代码显示,排除的文件后缀都是执行文件。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

白名单文件后缀白名单如下:

.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop

以下为被加密后的文件结构,其中包括了密文和被RSA算法加密的RC4的key。

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

下图为Clop勒索病毒加密后,在文件夹中留下的勒索信息:

新型变种Clop勒索病毒分析,企业数据资产安全威胁升级!-浩海云安全中心

上图勒索信中包括了以下内容:主机中所有文件被强算法加密、不要尝试解密、2周后所有文件和秘钥会被自动删除,想要解密就联系邮件支付赎金。

二、安全防护措施和建议

浩海云™攻防实验室针对该新型变种Clop勒索病毒的入侵机制,针对性的提出如下建议:

1、终端系统不要开启没有使用需求的端口,例如445、139等端口,针对3389、5900等远程控制类端口配置白名单,只允许合法的IP连接。

2、终端系统避免使用弱口令,采用高强度密码并定期更换密码,对于服务器的密码则需要运维人员按照密码规范设置强度。

3、建立数据备份机制和系统,强制对终端系统的文件和数据进行定期的非本地自动化备份。

4、不要随意下载安装第三方软件,不要随意打开可以的邮件附件。

5、建议部署浩海云盾™等终端系统安全防护软件,通过进程白名单、自动文档备份等功能,为企业数据资产提供一道安全防线,保护企业数据资产的安全。