背景概述

近日，深信服安服应急响应中心联合终端安全团队捕获到了一例CLOP勒索病毒新变种。CLOP勒索病毒最早出现于2019年初，其主要活动区域在韩国，但国内也有企业遭到该勒索病毒的攻击。

Clop勒索病毒具有很强的反检测机制，本次捕获的变种样本为了绕过沙箱，病毒只以服务的方式运行进行全盘加密，另外比较特别的是该变种并不会修改加密文件的后缀，而是创建一个同名文件加上”.C_L_O_P”后缀用于保存密钥。

除此之外，Clop勒索的勒索信内容也做了改变，从对受害者定制的勒索信息中可以看到，攻击者除了对文件进行加密勒索，同时还会窃取敏感数据，以威胁受害者支付赎金。

加密现象如下：

攻击过程

1.通过RDP爆破的方式登录运维人员PC；

2.对运维人员PC植入TinyMet后门进行提权及数据窃取；

3.获取域控密码后，通过域控对内网主机远程拷贝勒索病毒文件并创建对应服务，实现勒索攻击。

样本分析

为了避免被杀软查杀，病毒使用Delphi外壳程序进行了封装：

病毒运行后，其会读取资源ff1并将其解密：

ff1资源内容如下所示：

解密出的内容为系统API结构体+勒索病毒payload+装载payload的shellcode：

解密完成后返回到装载payload的shellcode：

装载勒索病毒payload：

执行payload进行勒索行为：

加密流程

该病毒不仅会加密本地磁盘文件，还会加密网络资源。遍历磁盘，排除掉系统重要文件，并且比较后缀名和文件大小，只有符合条件的文件才会进行加密。

针对每个待加密的文件，病毒随机生成117字节的密钥，使用RSA对该密钥进行加密并存放在.C_L_O_P后缀名的文件中，使用RC4算法对文件内容进行加密，并且仅对文件偏移0x4000之后的内容进行加密。

病毒根据不同的启动参数运行不同的函数进行加密，且病毒需要注册成服务形式才会执行全盘加密：

枚举网络资源，循环对网络资源进行加密

遍历本地磁盘，对本地磁盘文件进行加密

初始化RSA公钥，后边会使用RSA加密随机生成的RC4密钥

判断磁盘，如果是C盘，病毒会额外的加多一个判断函数，获取文件的校验值，判断文件是否属于系统重要文件

判断并跳过以下文件后缀名不进行加密：

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

获取文件名的校验值，重要的文件不参与加密

打开文件，如果打开文件失败重启管理器再次尝试打开文件，避免无法加密文件

比较文件大小，跳过文件大小小于17kb的文件

获取117字节的随机密钥，如果获取失败，则使用默认的密钥。采用RSA加密随机密钥，并存放至.C_L_O_P文件中

获取文件偏移0x4000以外的内容，并使用RC4算法对内容进行加密

在每个文件夹下写入勒索信息

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份；

2.使用高强度的主机密码，并避免多台设备使用相同密码，不要对外网直接映射3389等端口，防止暴力破解；

3.避免打开来历不明的邮件、链接和网址附件等，尽量不要在非官方渠道下载非正版的应用软件，发现文件类型与图标不相符时应先使用安全软件对文件进行查杀；

4.定期检测系统漏洞并且及时进行补丁修复。