新型勒索病毒Clop“瞞天過海”輕松“騙過”安全軟件

2019-02-26 10:23:03來源：雷鋒網(wǎng)

騰訊御見威脅情報中心發(fā)文稱檢測到新型勒索病毒Clop在國內(nèi)開始傳播。值得注意的是，Clop受害企業(yè)的大量數(shù)據(jù)被加密后，暫無有效的解密工具。

據(jù)稱，數(shù)字簽名濫用、冒用情況出現(xiàn)最多的是在惡意軟件或者竊密木馬程序當(dāng)中，而Clop是少見的攜帶了有效的數(shù)字簽名的勒索病毒。因此，Clop在病毒攔截的情況下更容易獲得安全軟件的信任，就這樣“瞞天過海”地進(jìn)行感染，進(jìn)而造成無法逆轉(zhuǎn)的局勢。

病毒結(jié)束后臺應(yīng)用進(jìn)程的代碼

雷鋒網(wǎng)得知，Clop勒索病毒首先會結(jié)束電腦中運(yùn)行的文件進(jìn)程，增加加密過程的成功率。然后會嘗試過濾白名單后綴為.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop的運(yùn)行文件并加密本地磁盤和網(wǎng)絡(luò)共享目錄文件。加密過程中Clop勒索病毒會按照文件內(nèi)容的大小分為兩種加密方案：

1、文件大于0x2dc6c0字節(jié)（約2.8-2.9MB）：采用文件映射方式改寫文件數(shù)據(jù)，且加密數(shù)據(jù)大小固定為0x2DC6C0字節(jié)（約2.8-2.9MB）；

2、其他情況：先讀取文件實際大小，加密文件數(shù)據(jù)，寫入新文件加密內(nèi)容，刪除原文件；

公鑰信息如圖，該密鑰用于文件加密

加密完成后，其會對每一個文件生成內(nèi)置的RSA公鑰（文件加密算法非RSA，但用該密鑰）加密文件密鑰信息后追加到文件末尾，被加密的文件暫無法解密。

勒索說明文檔ClopReadMe.txt通過查找資源SIXSIX解密后創(chuàng)建。解密方式為硬編碼數(shù)據(jù)模運(yùn)算后加循環(huán)異或。留下名為ClopReadMe.txt的勒索說明文檔，恐嚇受害者，要求在兩周內(nèi)聯(lián)系病毒作者繳納贖金，否則將無法恢復(fù)文件。

面對此次的Clop勒索病毒攻擊，騰訊御見威脅情報中心給出的安全建議如下：

企業(yè)用戶：

1、盡量關(guān)閉不必要的端口，如：445、135，139等，對3389，5900等端口可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸；

2、盡量關(guān)閉不必要的文件共享，如有需要，請使用ACL和強(qiáng)密碼保護(hù)來限制訪問權(quán)限，禁用對共享文件夾的匿名訪問；

3、采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼，并且強(qiáng)制要求每個服務(wù)器使用不同密碼管理

4、對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器；

5、對重要文件和數(shù)據(jù)（數(shù)據(jù)庫等數(shù)據(jù)）進(jìn)行定期非本地備份；

6、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件，Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)；

7、時常安裝、升級相關(guān)的終端安全管理系統(tǒng)，即使修復(fù)漏洞；

個人用戶：

1、安裝安全設(shè)備管理軟件，攔截Clop勒索病毒攻擊；

2、利用磁盤冗余空間備份文檔，萬一某些原因?qū)е吕账鞑《酒茐模€有機(jī)會恢復(fù)文件（需要確認(rèn)軟件是否具備該功能）；