無解密工具，新型勒索病毒Clop輕鬆「騙過」安全軟體

雷鋒網消息，2月25日騰訊御見威脅情報中心發文稱檢測到新型勒索病毒Clop在國內開始傳播。值得注意的是，Clop受害企業的大量數據被加密後，暫無有效的解密工具。

據稱，數字簽名濫用、冒用情況出現最多的是在惡意軟體或者竊密木馬程序當中，而Clop是少見的攜帶了有效的數字簽名的勒索病毒。因此，Clop在病毒攔截的情況下更容易獲得安全軟體的信任，就這樣「瞞天過海」地進行感染，進而造成無法逆轉的局勢。

打開今日頭條，查看更多圖片

病毒結束後台應用進程的代碼

雷鋒網得知，Clop勒索病毒首先會結束電腦中運行的文件進程，增加加密過程的成功率。然後會嘗試過濾白名單後綴為.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop的運行文件並加密本地磁碟和網路共享目錄文件。加密過程中Clop勒索病毒會按照文件內容的大小分為兩種加密方案：

1、文件大於0x2dc6c0位元組（約2.8-2.9MB）：採用文件映射方式改寫文件數據，且加密數據大小固定為0x2DC6C0位元組（約2.8-2.9MB）；

2、其他情況：先讀取文件實際大小，加密文件數據，寫入新文件加密內容，刪除原文件；

公鑰信息如圖，該密鑰用於文件加密

加密完成後，其會對每一個文件生成內置的RSA公鑰（文件加密演算法非RSA，但用該密鑰）加密文件密鑰信息後追加到文件末尾，被加密的文件暫無法解密。

勒索說明文檔ClopReadMe.txt通過查找資源SIXSIX解密後創建。解密方式為硬編碼數據模運算後加循環異或。留下名為ClopReadMe.txt的勒索說明文檔，恐嚇受害者，要求在兩周內聯繫病毒作者繳納贖金，否則將無法恢復文件。

面對此次的Clop勒索病毒攻擊，騰訊御見威脅情報中心給出的安全建議如下：

企業用戶：

1、盡量關閉不必要的埠，如：445、135，139等，對3389，5900等埠可進行白名單配置，只允許白名單內的IP連接登陸；

2、盡量關閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問許可權，禁用對共享文件夾的匿名訪問；

3、採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼，並且強制要求每個伺服器使用不同密碼管理

4、對沒有互聯需求的伺服器/工作站內部訪問設置相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器；

5、對重要文件和數據（資料庫等數據）進行定期非本地備份；

6、在終端/伺服器部署專業安全防護軟體，Web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務；

7、時常安裝、升級相關的終端安全管理系統，即使修復漏洞；

個人用戶：

1、安裝安全設備管理軟體，攔截Clop勒索病毒攻擊；

2、利用磁碟冗餘空間備份文檔，萬一某些原因導致勒索病毒破壞，還有機會恢復文件（需要確認軟體是否具備該功能）；

來源：騰訊御見威脅情報中心

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！