Clop是一个勒索病毒,病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。
样本信息样本名称:ClopRansomware.exe
样本家族:Clop
样本类型:勒索病毒。
MD5:DB9FCB37BD8CEEC0AFD6C
A7ABAB86B0DA1DDD7
SHA1:A71C9C0CA01AEA6C0BDB57A0ADCB4
6EEEFDD02A05AE9E6A2F37C6CBF69F4D89
文件类型:PEEXE。
文件大小:,字节
传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
专杀信息:暂无
影响系统:WindowsXP,WindowsServer,Windowsvista,Windows7,Windows10等等
样本概况这是年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏感操作都不具备,所以增加了查杀变种的难度。目前该病毒加密后,虽然发了勒索文档,但是由于加密的特殊性,基本无法解密。
样本危害该样本会加密磁盘上的文件,并生成勒索文档,由于加密算法的特殊性,加密的Key是根据原文件自己计算得出,所以基本无解密的可能性。
文件行为1).加密磁盘中所有文件并生成“文件名”+.Clop后缀的文件
2).生成勒索病毒文本ClopReadMe.txt
进程行为执行磁盘及网络磁盘的遍历,进行加密,进程名为病毒本身名字。
另外个别变种会创建名为SecurityCenterIBM的服务。
应对措施及建议1).安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
2).尽量把文件设置为显示后缀,以避免误点类似的伪装为文件夹的病毒。
3).大部分的病毒都需要以管理员身份运行,正常情况下使用计算机时尽量不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4).在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
5).网络文件服务器,共享文件夹尽量设置密码并避免使用弱密码。
6).现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
7).为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8).不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
详细分析报告请见
转载请注明:http://www.wangguoqiangq.com/sglbxw/7540.html
