无解密工具，新型勒索病毒Clop轻松“骗过”安全软件

雷锋网 (公众号：雷锋网) 消息，2月25日腾讯御见威胁情报中心发文称检测到新型勒索病毒Clop在国内开始传播。值得注意的是，Clop受害企业的大量数据被加密后，暂无有效的解密工具。

据称，数字签名滥用、冒用情况出现最多的是在恶意软件或者窃密木马程序当中，而Clop是少见的携带了有效的数字签名的勒索病毒。因此，Clop在病毒拦截的情况下更容易获得安全软件的信任，就这样“瞒天过海”地进行感染，进而造成无法逆转的局势。

▲病毒结束后台应用进程的代码

雷锋网得知，Clop勒索病毒首先会结束电脑中运行的文件进程，增加加密过程的成功率。然后会尝试过滤白名单后缀为.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop的运行文件并加密本地磁盘和网络共享目录文件。加密过程中Clop勒索病毒会按照文件内容的大小分为两种加密方案：

1、文件大于0x2dc6c0字节（约2.8-2.9MB）：采用文件映射方式改写文件数据，且加密数据大小固定为0x2DC6C0字节（约2.8-2.9MB）；
2、其他情况：先读取文件实际大小，加密文件数据，写入新文件加密内容，删除原文件；

▲公钥信息如图，该密钥用于文件加密

加密完成后，其会对每一个文件生成内置的RSA公钥（文件加密算法非RSA，但用该密钥）加密文件密钥信息后追加到文件末尾，被加密的文件暂无法解密。

勒索说明文档ClopReadMe.txt通过查找资源SIXSIX解密后创建。解密方式为硬编码数据模运算后加循环异或。留下名为ClopReadMe.txt的勒索说明文档，恐吓受害者，要求在两周内联系病毒作者缴纳赎金，否则将无法恢复文件。

面对此次的Clop勒索病毒攻击，腾讯御见威胁情报中心给出的安全建议如下：

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆；
2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问；
3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理
4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器；
5、对重要文件和数据（数据库等数据）进行定期非本地备份；
6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务；
7、时常安装、升级相关的终端安全管理系统，即使修复漏洞；

个人用户：

1、安装安全设备管理软件，拦截Clop勒索病毒攻击；
2、利用磁盘冗余空间备份文档，万一某些原因导致勒索病毒破坏，还有机会恢复文件（需要确认软件是否具备该功能）；

来源：腾讯御见威胁情报中心

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。