使用有效数字签名伪装的Clop勒索病毒

2019-02-20   

威胁等级:★★★★
Clop勒索病毒使用RC4算法加密受害者文件,通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾,被加密文件后缀被修改为.Clop 。病毒个别变种使用了邦外集团有效的数字签名进行伪装,危害不容小觑。

背景介绍

近日捕获到Clop勒索病毒,此病毒运行之后使用RC4算法加密受害者文件,使用病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾。被加密文件后缀被修改为.Clop。此外病毒个别变种使用了邦外集团有效的数字签名,可以看到此病毒作家正在积极的伪装病毒,危害不容小觑。

病毒MD5:8752A7A052BA75239B86B0DA1D483DD7

威胁等级:★★★★

图:病毒利用的数字签名

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

1、病毒运行后首先执行一些无意义的操作,拖延时间反沙箱,之后才开始执行恶意功能。

图:拖延时间反沙箱

2、结束常见数据库和办公软件的进程,防止文件被占用无法操作

图:结束指定进程

3、创建互斥体防止多个实例互相干扰

图:创建互斥体

4、枚举共享磁盘加密

图:加密网络共享

5、枚举本机磁盘加密

6、加密过程分析

传入作家RSA公钥调用加密函数

图:调用加密函数

7、加密函数会遍历一切文件加密

排除系统文件夹,防止系统无法运行

图:排除指定文件夹

排除指定文件和后缀

排除的主要是系统文件、勒索信、已加密文件、程序文件、快捷方式等

图:排除指定文件和后缀

如果不在排除列外中,则创建线程加密此文件

图:创建线程加密文件

读取原始文件实质

图:读文件

每个文件都会随机算一个RC4算法的密钥

RC4算法的密钥并不是使用随机数天生,而是通过调用windows密钥天生函数导出一个RSA公钥

图:天生密钥

并取导出密钥的前0x75字节,作为RC4的密钥,用此密钥加密文件。如果通过windows api获取密钥失败,则使用病毒内置的密钥加密文件

图:复制密钥

随机天生的RSA公钥,取前0x75字节,作为RC4密钥

图:随机天生的密钥

调用RC4算法加密

填充Sbox

图:填充Sbox
图:被填充Sbox

使用key 打乱Sbox

图:使用key 打乱Sbox
图:被打乱Sbox

RC4算法加密数据

图:RC4加密函数

使用RSA算法加密RC4算法的Key

图:加密RC4的key

将被加密的实质写入到一个新文件中,新文件命名为 原始文件名+ .Clop,然后删除原文件

图:写入新文件,删除原文件

被加密文件的结构为 密文+ Clop^_- + 被RSA算法加密的RC4的key

图:被加密文件结构

病毒会在被加密文件夹下开释勒索信息

图:勒索信息

防范措施

  1. 不打开可疑文件
  2. 常用软件尽量去官网下载
  3. 不打开可疑的邮件附件
  4. 安装杀毒软件,保持防护开启,查杀病毒
  5. 安装勒索病毒防御软件,拦截勒索病毒加密文件

幸运28论坛杀毒软件查杀

幸运28论坛之剑拦截

[责任编辑:瑞瑞]