生日快乐祝福语_微信QQ个性签名说说_海狮文学网

海狮文学网

海狮文学网,全面的短语句子类文学网站,收集了最新的生日快乐祝福语、节日祝福语大全、微信个性签名、QQ个性说说、心情说说、名人名言名句、早安晚安心语等,为读者呈现最精彩纷呈的网络文学!

菜单导航

使用有效数字签名伪装的Clop勒索病毒

作者: 海狮文学 发布时间: 2019年10月09日 18:02:40

使用有效数字签名伪装的Clop勒索病毒

2019-02-20   

威胁等级:★★★★
Clop勒索病毒使用RC4算法加密受害者文件,通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾,被加密文件后缀被修改为.Clop 。病毒个别变种使用了国外公司有效的数字签名进行伪装,危害不容小觑。 背景介绍

近日捕获到Clop勒索病毒,此病毒运行之后使用RC4算法加密受害者文件,使用病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾。被加密文件后缀被修改为.Clop。此外病毒个别变种使用了国外公司有效的数字签名,可以看到此病毒作者正在积极的伪装病毒,危害不容小觑。

病毒MD5:8752A7A052BA75239B86B0DA1D483DD7

威胁等级:★★★★

使用有效数字签名伪装的Clop勒索病毒

图:病毒利用的数字签名

病毒攻击视频 查杀病毒视频 拦截病毒视频 技术分析

1、病毒运行后首先执行一些无意义的操作,拖延时间反沙箱,之后才开始执行恶意功能。

使用有效数字签名伪装的Clop勒索病毒

图:拖延时间反沙箱

2、结束常见数据库和办公软件的进程,防止文件被占用无法操作

使用有效数字签名伪装的Clop勒索病毒

图:结束指定进程

3、创建互斥体防止多个实例互相干扰

使用有效数字签名伪装的Clop勒索病毒

图:创建互斥体

4、枚举共享磁盘加密

使用有效数字签名伪装的Clop勒索病毒

图:加密网络共享

5、枚举本机磁盘加密

使用有效数字签名伪装的Clop勒索病毒

6、加密过程分析

传入作者RSA公钥调用加密函数

使用有效数字签名伪装的Clop勒索病毒

图:调用加密函数

7、加密函数会遍历所有文件加密

排除系统文件夹,防止系统无法运行

使用有效数字签名伪装的Clop勒索病毒

图:排除指定文件夹

排除指定文件和后缀

排除的主要是系统文件、勒索信、已加密文件、程序文件、快捷方式等

使用有效数字签名伪装的Clop勒索病毒

图:排除指定文件和后缀

如果不在排除列表中,则创建线程加密此文件

使用有效数字签名伪装的Clop勒索病毒

图:创建线程加密文件

读取原始文件内容

使用有效数字签名伪装的Clop勒索病毒

图:读文件

每个文件都会随机算一个RC4算法的密钥

RC4算法的密钥并不是使用随机数生成,而是通过调用windows密钥生成函数导出一个RSA公钥

使用有效数字签名伪装的Clop勒索病毒

图:生成密钥

并取导出密钥的前0x75字节,作为RC4的密钥,用此密钥加密文件。如果通过windows api获取密钥失败,则使用病毒内置的密钥加密文件

使用有效数字签名伪装的Clop勒索病毒

图:复制密钥

随机生成的RSA公钥,取前0x75字节,作为RC4密钥

使用有效数字签名伪装的Clop勒索病毒

图:随机生成的密钥

调用RC4算法加密

填充Sbox

使用有效数字签名伪装的Clop勒索病毒

图:填充Sbox

使用有效数字签名伪装的Clop勒索病毒

图:被填充Sbox

使用key 打乱Sbox

使用有效数字签名伪装的Clop勒索病毒

图:使用key 打乱Sbox

使用有效数字签名伪装的Clop勒索病毒

图:被打乱Sbox

RC4算法加密数据

使用有效数字签名伪装的Clop勒索病毒

图:RC4加密函数

使用RSA算法加密RC4算法的Key

使用有效数字签名伪装的Clop勒索病毒

图:加密RC4的key

将被加密的内容写入到一个新文件中,新文件命名为 原始文件名+ .Clop,然后删除原文件

使用有效数字签名伪装的Clop勒索病毒

图:写入新文件,删除原文件

被加密文件的结构为 密文+ Clop^_- + 被RSA算法加密的RC4的key

使用有效数字签名伪装的Clop勒索病毒

图:被加密文件结构

病毒会在被加密文件夹下释放勒索信息

使用有效数字签名伪装的Clop勒索病毒

图:勒索信息

防范措施

不打开可疑文件

常用软件尽量去官网下载

不打开可疑的邮件附件

安装杀毒软件,保持防护开启,查杀病毒

安装勒索病毒防御软件,拦截勒索病毒加密文件

瑞星杀毒软件查杀

使用有效数字签名伪装的Clop勒索病毒

瑞星之剑拦截

使用有效数字签名伪装的Clop勒索病毒