Clop勒索病毒分析


Clop勒索病毒分析

一、

样本概括:Clop是一个勒索病毒,病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。

img

病毒执行流程:

img

1.病毒分析:

先获取进程及线程,作了一些无用操作,并且循环666000次,来拖延时间反沙箱

img

2.大量结果可能会占用文件的办公软件以及数据库进程,来确保下面的感染过程顺利进行

img

3.killProcess_By_Name函数内部:

img

4.然后创建互斥体CLOP#666检测样本是否已经运行

img

5.创建进程调用加密函数,加密网络共享磁盘

img

5.1线程内部

img

5.2枚举网络共享磁盘。并调用Encryption_sub_40B480进行加密,加密过程和下方遍历本地磁盘过程相同

img

6.枚举本地磁盘,并开启线程进行加密

img

6.1开启线程内部

img

Sub_40BE90函数内部先判断路径,再判断文件,避免加密了系统和关键文件,导致系统崩溃

img

如果不在排除列表内,则开启线程进行加密

img

详细分析StartAddress开启的线程

6.2先设置文件属性可读可写,然后通过映射的方式打开文件

img

6.3调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten中

img

6.4并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密匙失败则使用默认密匙

img

6.5 sub_40D2E0则为加密文件的主体过程。

img

6.6在当前路径下从资源中寻找SIXSIX解密后生产ClopReadMe.txt勒索文档

img

6.7 创建文件,名字为原始文件名+.clop,将加密的内入写入,并删除原始文件

img

7.然后获取个指定的路径进行加密

img

8. sub_40D2E0加密函数的详细过程

8.1 在获取详细密钥后,先填充了Sbox,然后密钥key打乱Sbox

img

img

8.2然后调用sub_40D330 进行加密

img

二、变种二gmontraff.exe文件分析

1.样本检查了是否可运行的环境,如果不具备,则修改全路径参数,重新运行样本

函数sub_40D6A0修改全路径参数并运行

img

2. 然后该样本会创建一个名为”SecurityCenterIBM”的服务,并启动服务

img

3. sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程

img

4. 发现样本先创建文件,获取本线程等等,并且循环了666000次,是为了反沙箱检测,并没有实际的作用

img

5. 然后执行sub_40E590函数从资源文件中加载SIXSIX1的文件,并该解密该文件,解密完成后打开该文件,为勒索文档

img

6. 检查互斥体MoneryP#666是否存在,来验证加密程序是否运行,如果在运行就退出

img

7. 病毒运行后创建进程大量结束占用文件进程

img

8. 然后创建线程枚举共享网络磁盘进行加密

img

9. 遍历本地磁盘进行文件加密

img

10.获取指定磁盘路径进行加密,并生成勒索文本

img


Author: Free04kSec
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint polocy. If reproduced, please indicate source Free04kSec !
 Previous
边界信息收集 边界信息收集
Whois 聚合数据微步在线:https://x.threatbook.cn/ 云悉指纹:https://www.yunsee.cn/ 集团结构天眼查:https://www.tianyancha.com/ 网站备案看有哪些主域名(或者改后
2020-09-17 Free04kSec
Next 
ModBus协议环境搭建 ModBus协议环境搭建
ModBus协议环境搭建我在网上冲浪的时候看到知识盒子里面有ModBus的视频,好奇看了一下 还不错,所以就复现一下。 环境:虚拟机:WindowsXP Sp2 物理机:Windows10 Home 工具:Modsim、ModBusscan
2020-09-02 Free04kSec
  TOC