弱口令 detect 管理 -o ldr tro 恢復文件 創建 加密算

近日，國內安全威脅情報中心監測到新型勒索病毒Clop在國內開始傳播，國內某企業被***後造成大面積感染，致該受害企業大量數據被加密而損失嚴重，我們提醒各政府企業單位註意防範。
與其他勒索病毒不同，也是最可怕的地方是：Clop勒索病毒部分情況下攜帶了有效的數字簽名，數字簽名濫用，冒用以往情況下多數發生在流氓軟件，竊密類***程序中。勒索病毒攜帶有效簽名的情況極為少見，這意味著該病毒在部分攔截場景下更容易獲取到安全軟件的信任，進而感染成功，造成無法逆轉的損失。

病毒分析
Clop勒索病毒首先會結束大量文件占用類進程，以保證加密文件過程中避免因文件占用造成加密失敗，病毒會嘗試以白名單過濾的方式加密本地磁盤和網絡共享目錄文件，加密時通過判斷文件大小來采取不同的加密方式。對每個文件生成文件加密密鑰，加密文件完成後使用內置的RSA公鑰加密文件密鑰信息後追加到文件末尾，被加密後的文件暫時無法解密。
病毒運行後首先結束大量文件占用進程，列表如下：

遍歷當前系統磁盤準備從根目錄開始對文件加密，同時會遍歷局域網內共享目錄，對有權限寫入的文件進行加密。
白名單後綴：
.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop
文件：
ntldr、NTLDR、boot.ini、BOOT.INI、ntuser.ini、NTUSER.INI、AUTOEXEC.BAT、autoexec.bat、NTDETECT.COM、ntdetect.com、ClopReadMe.txt
目錄：
Chrome、Mozilla、Recycle.bin、Microsoft、AhnLab、AllUsers、ProgramData、ProgramFiles(x86)、PROGRAMFILES(X86)、ProgramFiles、PROGRAMFILES
病毒在加密文件時，會判斷文件大小，當文件大於0x2dc6c0字節（約2.8-2.9MB）時，采用文件映射方式改寫文件數據，且加密數據大小固定為0x2DC6C0字節（約2.8-2.9MB），其余情況則以采取先讀取文件實際大小，加密文件數據，寫入新文件加密內容，刪除原文件的方式完成加密過程。對每個文件生成導出一個RSA公鑰（文件加密算法非RSA，但用該密鑰）


勒索說明文檔 ClopReadMe.txt 通過查找資源SIXSIX解密後創建。解密方式為硬編碼數據模運算後加循環異或。

留下名為 ClopReadMe.txt 的勒索說明文檔，恐嚇受害者，要求在兩周內聯系病毒作者繳納贖金，否則將無法恢復文件。

安全建議

企業用戶：
1、盡量關閉不必要的端口，如：445、135，139等，對3389，5900等端口可進行白名單配置，只允許白名單內的IP連接登陸。
2、盡量關閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問權限，禁用對共享文件夾的匿名訪問。
3、采用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。建議服務器密碼使用高強度且無規律密碼，並且強制要求每個服務器使用不同密碼管理。
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被後作為跳板進一步其他服務器。
5、對重要文件和數據（數據庫等數據）進行定期非本地備份。
6、在終端/服務器部署專業安全防護軟件，Web服務器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

Clop勒索病毒的安全防禦及數據恢復方案