clop是什么文件
Clop是一个勒索病毒,病毒主要通过CR4RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。
样本信息
样本名称:ClopRansomware.exe
样本家族:Clop
样本类型:勒索病毒。
MD5:0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1:A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件类型:PE EXE。
文件大小:109,896 字节
传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
专***信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
样本概况
这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏感操作都不具备,所以增加了查***变种的难度。目前该病毒加密后,虽然发了勒索文档,但是由于加密的特殊性,基本无法解密。
样本危害
该样本会加密磁盘上的文件,并生成勒索文档,由于加密算法的特殊性,加密的Key是根据原文件自己计算得出,所以基本无解密的可能性。
文件行为
1). 加密磁盘中所有文件并生成 “文件名”+.Clop后缀的文件
2). 生成勒索病毒文本ClopReadMe.txt
进程行为
执行磁盘及网络磁盘的遍历,进行加密,进程名为病毒本身名字。
另外个别变种会创建名为SecurityCenterIBM的服务。
应对措施及建议
1). 安装防毒***毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
2). 尽量把文件设置为显示后缀,以避免误点类似的伪装为文件夹的病毒。
3). 大部分的病毒都需要以管理员身份运行,正常情况下使用计算机时尽量不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4). 在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
5). 网络文件服务器,共享文件夹尽量设置密码并避免使用弱密码。
6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。