冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

栏目: 编程工具 · 发布时间: 5年前

内容简介:Clop勒索病毒是一款2019年最新出现的勒索病毒家族,主要活跃地区在韩国,并出现向国内传播的趋势,深信服安全团队第一时间对此勒索病毒进行了跟踪,并进行了详细分析,样本通过RSA加密算法加密文件,同时会加密磁盘目录和网络共享目录下的文件,加密后的文件无法解密。该勒索病毒的部分变种还冒用有效的数字签名,意图躲避检测:

一、样本简介

Clop勒索病毒是一款2019年最新出现的勒索病毒家族,主要活跃地区在韩国,并出现向国内传播的趋势,深信服安全团队第一时间对此勒索病毒进行了跟踪,并进行了详细分析,样本通过RSA加密算法加密文件,同时会加密磁盘目录和网络共享目录下的文件,加密后的文件无法解密。

该勒索病毒的部分变种还冒用有效的数字签名,意图躲避检测:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

二、信息概述

1. 勒索病毒运行流程:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

2. 生成的勒索信息文本文件内容,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

3. 加密后的文件后缀名为Clop,文件名为:[原文件名.原后缀名]+[Clop后缀名],如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

三、详细分析

1. 样本分配相应的内存,并进行解密,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

2. 解密出相应的内存代码,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

3. 执行解密出来的代码,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

4. 重定位,获取相应函数地址,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

5. 在内存中解密出勒索Payload的数据,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

6. 再次解密出完整Payload代码,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

7. 结束相关进程,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

相关的进程列表,如下所示:

zoolz.exe、mysqld-nt.exe、syntime.exe、agntsv.exe、mysqld-opt.exe
tbirdonfig.exe、dbeng50.exe、oautoupds.exe、thebat.exe、dbsnmp.exe
oomm.exe、thebat64.exe、ensv.exe、ossd.exe、thunderbird.exe、exel.exe
onenote.exe、visio.exe、firefoxonfig.exe、orale.exe、winword.exe
infopath.exe、outlook.exe、wordpad.exe、isqlplussv.exe、powerpnt.exe
xfssvon.exe、msaess.exe、sqboreservie.exe、tmlisten.exe、msftesql.exe
sqlagent.exe、PNTMon.exe、mspub.exe、sqlbrowser.exe、NTAoSMgr.exe
mydesktopqos.exe、sqlservr.exe、Ntrtsan.exe、mydesktopservie.exe
sqlwriter.exe、mbamtray.exe、mysqld.exe、steam.exe

8. 创建互斥主量,防止程序多次运行,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

9. 枚举网络共享目录文件,并进行加密,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

10. 遍历目录及文件,如果包含以下目录名或文件名以及文件名后缀的,则不进行加密操作,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

相应的目录名列表,如下所示:

Chrome、Mozilla、Recycle.bin、Microsoft、AhnLab、Windows、AllUsers
ProgramData、Program Files (x86)、PROGRAM FILES (X86)
ProgramFiles、PROGRAM FILES

相应的文件名列表,如下所示:

ClopReadMe.txt、Ntldr、NTLDR、boot.ini、BOOT.INI、ntuser.ini、NTUSER.INI
AUTOEXEC.BAT、autoexec.bat、.Clop、NTDETECT.COM、ntdetect.com、.dll
.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk

11. 加密文件,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

12. 读取资源目录下ID为SIXSIX的资源数据,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

13. 遍历加密磁盘目录下的文件,如下所示:

冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

四、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

探索需求

探索需求

章柏幸、王媛媛、谢攀、杰拉尔德・温伯格、唐纳德・高斯 / 章柏幸、王媛媛、谢攀 / 清华大学出版社 / 2004-7-1 / 39.00元

本书将与您一起寻找"什么是客户真正想要的"这一问题的答案。 本书着眼于系统设计之前的需求过程,它是整个开发过程(如何设计人们想要的产品和系统)中最有挑战性的那部分。通过对一些需求分析中的常见误区和问题的分析和讨论,从和客户沟通开始,深入研究一些可能的需求,澄清用户和开发者期望值,最终给出了能够大幅度提高项目成功几率的一些建议方法。 本书由该领域内公认的两位作者合著,搜集了他们在大大小小......一起来看看 《探索需求》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试