Clop勒索病毒分析报告
2019-02-27 来源:安全资讯
样本信息 样本名称: ClopRansomware.exe 样本家族: Clop 样本类型: 勒索病毒。 MD 5 : 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02
样本信息
样本名称:ClopRansomware.exe样本家族:Clop
样本类型:勒索病毒。
MD5: 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件类型:PE EXE。
文件大小:109,896 字节
传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
样本来源:互联网
发现时间:2019.02.22
入库时间:2016.02.25
C2服务器:暂无
样本概况
Clop是一个勒索病毒,病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。
样本危害
该样本会加密磁盘上的文件,并生成勒索文档,由于加密算法的特殊性,加密的Key是根据原文件自己计算得出,所以基本无解密的可能性。应对措施及建议
1). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。2). 尽量把文件设置为显示后缀,以避免误点类似的伪装为文件夹的病毒。
3). 大部分的病毒都需要以管理员身份运行,正常情况下使用计算机时尽量不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4). 在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
5). 网络文件服务器,共享文件夹尽量设置密码并避免使用弱密码。
6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
行为概述
文件行为
1). 加密磁盘中所有文件并生成 “文件名”+.Clop后缀的文件2). 生成勒索病毒文本ClopReadMe.txt
进程行为
执行磁盘及网络磁盘的遍历,进行加密,进程名为病毒本身名字。另外个别变种会创建名为SecurityCenterIBM的服务。
注册表行为
无
网络行为
无
详细分析报告
病毒执行流程:
由于该病毒有多个变种,但病毒主体加密代码基本一致,只有修改了代码运行的流程和运行方式,使其特征更难被发现。下面将对其中的2个变种进行详细分析。
变种一ClopRansomware文件分析:
1、样本也是同样先获取进程及线程,作了一些无用操作,并且循环666000次,来拖延时间反沙箱。
2、然后大量结束可能会占用文件的办公软件及数据库进程,来确保下面的感染过程顺利进行
3、KillProcess_By_Name函数内部:
4、然后创建互斥体CLOP#666检测样本是否已经运行
5、然后创建进程调用加密函数,加密网络共享磁盘
5.1线程内部:
5.2枚举网络共享磁盘,并调用Encryption_sub_40B480进行加密,加密过程和下方遍历本地磁盘的过程相同,稍后详细分析。
6、枚举本地磁盘,并开启线程进行加密
6.1开启线程内部:
Sub_40BE90函数内部先判断路径,再判断文件,避免加密了系统和关键文件,导致系统崩溃
如果不在排出列表内,则开启线程进行加密
详细分析StartAddress开启的线程
6.1先设置文件属性可读可写,然后通过映像的方式打开文件
6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten中
6.3并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密匙失败则使用默认密匙
6.4 sub_40D2E0则为加密文件的主体过程,稍后详细分析加密过程
6.5在当前路径下从资源中寻找SIXSIX解密后生成ClopReadMe.txt勒索文档
6.6创建文件,名字为原始文件名+.Clop,将加密的内容写入,并删除原始文件
7、然后获取了个指定的路径进行加密
8、sub_40D2E0加密函数的详细过程
8.1在获取详细密匙后,先填充了Sbox,然后用密匙key打乱Sbox
8.2 然后调用sub_40D330进行加密
由于加密所用的密匙Key为根据原文件获取,且认为每个文件都是唯一的,除非有原文件,才能解密出Key,所以基本无解密文件的可能。
变种二gmontraff.exe文件分析:
变种二主要是在变种一的前提下,增加了环境的判断,更换了指定的变量名,更换了RC4的密钥提取长度,并添加了一个服务作为感染运行的主体
1、样本先检查了是否有可运行的环境,如果不具备,则修改全路径参数,重新运行样本
函数sub_40D6A0修改全路径参数并运行:
2、然后该样本会创建一个名为“SecurityCenterIBM”的服务,并启动服务
3、sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程
4、相信分析线程的回调函数代码,发现样本先创建文件,获取本线程等等,并且循环了666000次,是为了反沙箱检测,并没有的实际的作用。
5、然后执行的sub_40E590函数从资源文件中加载SIXSIX1的文件,并解密该文件,解密完成后打开该文件,为勒索文档。
6、检查互斥体MoneyP#666是否存在,来验证加密程序是否在运行,如果在运行就退出
7、病毒运行后创建进程大量结束占用文件的进程
8、然后创建线程枚举共享网络磁盘进行加密
9、遍历本地磁盘进行文件加密
10、获取指定磁盘路径进行加密,并生成勒索文本
总结
这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏感操作都不具备,所以增加了查杀变种的难度。目前该病毒加密后,虽然发了勒索文档,但是由于加密的特殊性,基本无法解密。
附录
Hash
C&C
