0
雷鋒網消息,2月25日騰訊御見威脅情報中心發文稱檢測到新型勒索病毒Clop在國內開始傳播。值得注意的是,Clop受害企業的大量數據被加密后,暫無有效的解密工具。
據稱,數字簽名濫用、冒用情況出現最多的是在惡意軟件或者竊密木馬程序當中,而Clop是少見的攜帶了有效的數字簽名的勒索病毒。因此,Clop在病毒攔截的情況下更容易獲得安全軟件的信任,就這樣“瞞天過海”地進行感染,進而造成無法逆轉的局勢。
▲病毒結束后臺應用進程的代碼
雷鋒網得知,Clop勒索病毒首先會結束電腦中運行的文件進程,增加加密過程的成功率。然后會嘗試過濾白名單后綴為.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop的運行文件并加密本地磁盤和網絡共享目錄文件。加密過程中Clop勒索病毒會按照文件內容的大小分為兩種加密方案:
1、文件大于0x2dc6c0字節(約2.8-2.9MB):采用文件映射方式改寫文件數據,且加密數據大小固定為0x2DC6C0字節(約2.8-2.9MB);
2、其他情況:先讀取文件實際大小,加密文件數據,寫入新文件加密內容,刪除原文件;
▲公鑰信息如圖,該密鑰用于文件加密
加密完成后,其會對每一個文件生成內置的RSA公鑰(文件加密算法非RSA,但用該密鑰)加密文件密鑰信息后追加到文件末尾,被加密的文件暫無法解密。
勒索說明文檔ClopReadMe.txt通過查找資源SIXSIX解密后創建。解密方式為硬編碼數據模運算后加循環異或。留下名為ClopReadMe.txt的勒索說明文檔,恐嚇受害者,要求在兩周內聯系病毒作者繳納贖金,否則將無法恢復文件。
面對此次的Clop勒索病毒攻擊,騰訊御見威脅情報中心給出的安全建議如下:
企業用戶:
1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸;
2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問;
3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器;
5、對重要文件和數據(數據庫等數據)進行定期非本地備份;
6、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務;
7、時常安裝、升級相關的終端安全管理系統,即使修復漏洞;
個人用戶:
1、安裝安全設備管理軟件,攔截Clop勒索病毒攻擊;
2、利用磁盤冗余空間備份文檔,萬一某些原因導致勒索病毒破壞,還有機會恢復文件(需要確認軟件是否具備該功能);
來源:騰訊御見威脅情報中心
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
