威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

【威胁直击】Clop勒索病毒变种通告
发布时间 :2021年10月18日
分享:

事件描述


近日,威尼斯432888cam网络安全实验室截获Clop勒索病毒最新变种文件,该变种本身不具有传播性。其加密算法为RSA,属于非对称加密方式,被加密的文件无法解密。其加密文件后添加*.C_L_O_P后缀。威尼斯432888cam将其命名为:Trojan.Win32.POKIM.A。


攻击流程

 
微信截图_20211115211954.png

病毒详细分析

 

动态内存解密并执行

TResourceStream.Create 函数打开资源。
2.jpg

VirtualAllocEX函数申请内存。
3.jpg

内存解密逻辑。
4.jpg

对解密后的程序进行分析

注册为服务,服务名:LocalNetWRK。
5.jpg

分析服务处理函数

创建互斥量
UNICODE "KLJHMKSMDKG32iujHRN#WMKTGWY#666"

盗用令牌
尝试获取Explorer.exe进程的token。
6.jpg
7.jpg

导入公钥
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCu/7rjREHOM14IAtjeTs3Ff05h 9M+G5Wlo67i+/5DKZIRJryfR6+5oUkRwm3cuQ34Vl/D9GwRHYy7C+tq2AikJaxNi cL6XI3crlaZJsnWDilwAbxs9TBosnSzuwyutPkkNTYexKdkQcyxx3uH9Wt+BB/32ZlHpAM9RZr7//SbrRQIDAQAB
-----END PUBLIC KEY-----
8.jpg
遍历磁盘加密文件
每一个盘符创建一个加密线程。
9.jpg

避免加密如下文件:
READ_ME_!!!.EXE
ntuser.dat

避免加密如下扩展名文件:
  • ocx

  • dll

  • exe

  • sys

  • lnk

  • ico

  • ini

  • msi

  • chm

  • hlf

  • lng

  • ttf

  • cmd

  • bat

  • c_l_o_p


加密共享文件夹
10.jpg

威尼斯432888cam产品解决方案

 
威尼斯432888cam病毒码版本17.129.60,云病毒码版本17.127.71,全球码版本17.127.00 已经可以检测,请用户及时升级病毒码版本;
威尼斯432888camDDAn沙盒平台已经可以检测。

11.jpg

安全建议


  • 打开系统自动更新,并检测更新进行安装;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口;

  • 尽量关闭不必要的网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


IOC


SHA-1 :4bdeb4cc550e83fb149e8c04ef6e38f6bb70b878
分享到微信
X