背景概述

近日，深信服安服應急響應中心聯合終端安全團隊捕獲到了一例CLOP勒索病毒新變種。CLOP勒索病毒最早出現於2019年初，其主要活動區域在韓國，但國內也有企業遭到該勒索病毒的攻擊。

Clop勒索病毒具有很強的反檢測機制，本次捕獲的變種樣本為了繞過沙箱，病毒只以服務的方式執行進行全盤加密，另外比較特別的是該變種並不會修改加密檔案的字尾，而是建立一個同名檔案加上”.C_L_O_P”字尾用於儲存金鑰。

除此之外，Clop勒索的勒索信內容也做了改變，從對受害者定製的勒索資訊中可以看到，攻擊者除了對檔案進行加密勒索，同時還會竊取敏感資料，以威脅受害者支付贖金。

加密現象如下：

攻擊過程

1.透過RDP爆破的方式登入運維人員PC；

2.對運維人員PC植入TinyMet後門進行維權及資料竊取；

3.獲取域控密碼後，透過域控對內網主機遠端複製勒索病毒檔案並建立對應服務，實現勒索攻擊。

樣本分析

為了避免被殺軟查殺，病毒使用Delphi外殼程式進行了封裝：

病毒執行後，其會讀取資源ff1並將其解密：

ff1資源內容如下所示：

解密出的內容為系統API結構體+勒索病毒payload+裝載payload的shellcode：

解密完成後返回到裝載payload的shellcode：

裝載勒索病毒payload：

執行payload進行勒索行為：

加密流程

該病毒不僅會加密本地磁碟檔案，還會加密網路資源。遍歷磁碟，排除掉系統重要檔案，並且比較字尾名和檔案大小，只有符合條件的檔案才會進行加密。

針對每個待加密的檔案，病毒隨機生成117位元組的金鑰，使用RSA對該金鑰進行加密並存放在.C_L_O_P字尾名的檔案中，使用RC4演算法對檔案內容進行加密，並且僅對檔案偏移0x4000之後的內容進行加密。

病毒根據不同的啟動引數執行不同的函式進行加密，且病毒需要註冊成服務形式才會執行全盤加密：

列舉網路資源，迴圈對網路資源進行加密

遍歷本地磁碟，對本地磁碟檔案進行加密

初始化RSA公鑰，後邊會使用RSA加密隨機生成的RC4金鑰

判斷磁碟，如果是C盤，病毒會額外的加多一個判斷函式，獲取檔案的校驗值，判斷檔案是否屬於系統重要檔案

判斷並跳過以下檔案字尾名不進行加密：

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

獲取檔名的校驗值，重要的檔案不參與加密

開啟檔案，如果開啟檔案失敗重啟管理器再次嘗試開啟檔案，避免無法加密檔案

比較檔案大小，跳過檔案大小小於17kb的檔案

獲取117位元組的隨機金鑰，如果獲取失敗，則使用預設的金鑰。採用RSA加密隨機金鑰，並存放至.C_L_O_P檔案中

獲取檔案偏移0x4000以外的內容，並使用RC4演算法對內容進行加密

在每個資料夾下寫入勒索資訊

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案 

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。