Cl0p勒索病毒样本分析

相关阅读：
1.Clop勒索病毒家族
2.Cl0p勒索病毒最新变种分析

一、        样本信息
文件名：Clop.exe
MD5：c41a0e1ddeb85b6326a3dc403a5fd0fa
SHA1：3c8e60ce5ff0cb21be39d1176d1056f9ef9438fa
二、        代码分析
    Clop通过执行shellcode释放内置恶意EXE文件资源到内存，并手动装载进当前进程空间，借此躲避杀软检测。
当前样本执行的行为包括关闭指定进程、搜索文件进行加密、释放勒索信息提示文件等。
1.        关闭指定进程
    为了顺利加密，病毒将会关闭包括数据库、office、邮箱、编辑软件以及steam游戏平台软件等在内的相关进程，从而解除文件的占用。以下是被关闭的进程名（部分）：

• dbeng50.exe
• oautoupds.exe
• thebat.exe
• dbsnmp.exe
• oomm.exe
• sqlservr.exe
• Ntrtsan.exe
• mydesktopservie.exe
• sqlwriter.exe
• mbamtray.exe
• mysqld.exe
• steam.exe
  

    接着通过创建互斥体”CLOP#666”，保证进程的单例执行。



2.        搜索文件进行加密
  样本的加密目标包括网络资源以及本地磁盘。本地磁盘加密类型包括：可移动磁盘（DRIVE_REMOVABLE）、固定磁盘（DRIVE_FIXED）、网络磁盘（DRIVE_REMOTE）。
  之后会为网络资源以及每个加密目标磁盘分别创建1条加密线程。

搜索目录时，避过下列的浏览器、回收站、应用程序、系统程序、杀软等相关路径。

• Chrome
• Mozilla
• Recycle.bin
• Microsoft
• AhnLab
• Windows
• All Users
• ProgramData
• Program Files (x86)
• PROGRAM FILES (X86)
• Program Files
• PROGRAM FILES
  

不加密匹配以下文件名或扩展名类型的文件，主要包括系统运行相关程序和配置文件，以及可执行文件类型。其中.Clop为加密后文件的扩展名，ClopReadMe.txt是勒索信息文件名。

• ClopReadMe.txt
• ntldr
• NTLDR
• boot.ini
• BOOT.INI
• ntuser.ini
• NTUSER.INI
• AUTOEXEC.BAT
• autoexec.bat
• NTDETECT.COM
• ntdetect.com
• .Clop
• .dll
• .DLL
• .exe
• .EXE
• .sys
• .SYS
• .OCX
• .ocx
• .LNK
• .lnk
  

其余文件全部进行加密，为每个被加密文件创建1条线程进行加密。

3.        文件加密方式
    文件加密方式为RSA+RC4，即非对称加密算法+对称加密算法。
首先是文件数据的加密，采用RC4对称加密算法。每个文件生成不同的文件加密密钥。而如果生成或导出密钥失败，Clop将会转而使用自带的RC4密钥：
48 16 AE 08 F2 96 70 75 C5 C8 ED 16 55 42 6E 0E D1 F0 6E FF C8 F9 C2 36 25 6A BF A1 13 09 F9 6B 9A CF 31 54 FD 10 7C 01 1F B1 F1 B9 89 7A 8E B6 5A AB BD 46 39 61 F1 71 31 9E 09 8F CA 83 5A 32 66 CC 19 48 2B CA 01 11 6B 1D 29 16 6D 8B 9B 73 9A CF 31 54 FD 10 7C 01 1F B1 F1 B9 89 7A 8E B6 F2 3C D8 BB 54 75 8D 24 C7 52 81 17 39 E2 09 F7 12 BE BF 9A 70。
Clop中加密算法RC4设置密钥：

    如果文件大小不大于2.86MB，文件将被全部加密；大于2.86 MB的文件则只被加密前2.86 MB内容。
文件内容加密结束后，导入攻击者RSA公钥（1024-bit），加密RC4对称密钥，加密结果128字节。最后将字符串” Clop^_-”拼接上加密后的文件加密密钥写入文件尾部，共135字节。

以文件大小大于2.86MB的文件为例，其加密流程以及加密后文件结构如下图：

4.        勒索信息文件
每个加密完成后的文件夹下都将被放置一个勒索信息文件ClopReadMe.txt。

    文件中提到，用户只有2周时间用于联系黑客进恢复数据，赎金价格也会与联系时间相关，逾期密钥将被删除，无法再被解密。发送邮件时可添加2-3个不包含敏感数据且不大于5MB的被加密文件作为附件，黑客将返回解密文件，以让用户确认对方可以恢复数据。
联系对方进行解密的两个邮箱：

• servicedigilogos@protonmail.com
• managersmaers@tutanota.com