Clop勒索病毒分析报告

2019-02-27 来源：安全播报

样本信息样本名称： ClopRansomware.exe 样本家族： Clop 样本类型：勒索病毒。 MD 5 ： 0403DB9FCB37BD8CEEC0AFD6C3754314 8752A7A052BA75239B86B0DA1D483DD7 SHA1： A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4 6EEEF883D209D02

样本信息

样本名称：ClopRansomware.exe
样本家族：Clop
样本类型：勒索病毒。
MD5： 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1： A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件类型：PE EXE。
文件大小：109，896 字节
传播途径：网页挂马、下载器下载等、U盘传播、贡献文件传播等
专杀信息：暂无
影响系统：Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
样本来源：互联网
发现时间：2019.02.22
入库时间：2016.02.25
C2服务器：暂无

样本概况

Clop是一个勒索病毒，病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程，并排除掉指定路径及文件（白名单）来保证系统正常运行不至崩溃。目前发现该病毒多种变种，主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。

样本危害

该样本会加密磁盘上的文件，并生成勒索文档，由于加密算法的特殊性，加密的Key是根据原文件自己计算得出，所以基本无解密的可能性。

应对措施及建议

1). 安装防毒杀毒软件并将病毒库升级为最新版本，并定期对计算机进行全盘扫描。
2). 尽量把文件设置为显示后缀，以避免误点类似的伪装为文件夹的病毒。
3). 大部分的病毒都需要以管理员身份运行，正常情况下使用计算机时尽量不使用超级管理员权限登录，在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4). 在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。
5). 网络文件服务器，共享文件夹尽量设置密码并避免使用弱密码。
6). 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
7). 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
8). 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

行为概述

文件行为

1). 加密磁盘中所有文件并生成 “文件名”+.Clop后缀的文件
2). 生成勒索病毒文本ClopReadMe.txt

进程行为

执行磁盘及网络磁盘的遍历，进行加密，进程名为病毒本身名字。
另外个别变种会创建名为SecurityCenterIBM的服务。

注册表行为

无

网络行为

无

详细分析报告

病毒执行流程：

由于该病毒有多个变种，但病毒主体加密代码基本一致，只有修改了代码运行的流程和运行方式，使其特征更难被发现。下面将对其中的2个变种进行详细分析。

变种一ClopRansomware文件分析:

1、样本也是同样先获取进程及线程，作了一些无用操作，并且循环666000次，来拖延时间反沙箱。

2、然后大量结束可能会占用文件的办公软件及数据库进程，来确保下面的感染过程顺利进行

3、KillProcess_By_Name函数内部：

4、然后创建互斥体CLOP#666检测样本是否已经运行

5、然后创建进程调用加密函数，加密网络共享磁盘

5.1线程内部：

5.2枚举网络共享磁盘，并调用Encryption_sub_40B480进行加密，加密过程和下方遍历本地磁盘的过程相同，稍后详细分析。

6、枚举本地磁盘，并开启线程进行加密

6.1开启线程内部：

Sub_40BE90函数内部先判断路径，再判断文件，避免加密了系统和关键文件，导致系统崩溃

如果不在排出列表内，则开启线程进行加密

详细分析StartAddress开启的线程
6.1先设置文件属性可读可写，然后通过映像的方式打开文件

6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten中

6.3并导出密匙的前0x75个字节作为RC4的密匙，如果使用WindowsAPI的函数导出密匙失败则使用默认密匙

6.4 sub_40D2E0则为加密文件的主体过程，稍后详细分析加密过程

6.5在当前路径下从资源中寻找SIXSIX解密后生成ClopReadMe.txt勒索文档

6.6创建文件，名字为原始文件名+.Clop，将加密的内容写入，并删除原始文件

7、然后获取了个指定的路径进行加密

8、sub_40D2E0加密函数的详细过程
8.1在获取详细密匙后，先填充了Sbox,然后用密匙key打乱Sbox

8.2 然后调用sub_40D330进行加密

由于加密所用的密匙Key为根据原文件获取，且认为每个文件都是唯一的，除非有原文件，才能解密出Key,所以基本无解密文件的可能。

变种二gmontraff.exe文件分析:

变种二主要是在变种一的前提下，增加了环境的判断，更换了指定的变量名，更换了RC4的密钥提取长度，并添加了一个服务作为感染运行的主体

1、样本先检查了是否有可运行的环境，如果不具备，则修改全路径参数，重新运行样本

函数sub_40D6A0修改全路径参数并运行：

2、然后该样本会创建一个名为“SecurityCenterIBM”的服务，并启动服务

3、sub_40D770函数就是服务运行的主体代码，服务内部开启了一个线程

4、相信分析线程的回调函数代码，发现样本先创建文件，获取本线程等等，并且循环了666000次，是为了反沙箱检测，并没有的实际的作用。

5、然后执行的sub_40E590函数从资源文件中加载SIXSIX1的文件，并解密该文件，解密完成后打开该文件，为勒索文档。

6、检查互斥体MoneyP#666是否存在，来验证加密程序是否在运行，如果在运行就退出

7、病毒运行后创建进程大量结束占用文件的进程

8、然后创建线程枚举共享网络磁盘进行加密

9、遍历本地磁盘进行文件加密

10、获取指定磁盘路径进行加密，并生成勒索文本

总结

这是2019年比较新的勒索病毒，主要在韩国传播，近期有向国内传播的趋势，且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的，且该边度很多危险行为，比如开机启动，拷贝自身文件等敏感操作都不具备，所以增加了查杀变种的难度。
目前该病毒加密后，虽然发了勒索文档，但是由于加密的特殊性，基本无法解密。

附录

Hash

C&C

返回列表