clop是什么文件？

Clop是一個勒索病毒，病毒主要通過CR4RSA加密算法對磁盤及共享磁盤下的所有非白名單的文件進行加密。病毒會結(jié)束一些可能占用文件導(dǎo)致加密失敗的進程，并排除掉指定路徑及文件（白名單）來保證系統(tǒng)正常運行不至崩潰。目前發(fā)現(xiàn)該病毒多種變種，主要是改變了運行方式及加密的公鑰。該病毒還配有合法有效的數(shù)字簽名。

樣本信息

樣本名稱：ClopRansomware.exe

樣本家族：Clop

樣本類型：勒索病毒。

MD5：0403DB9FCB37BD8CEEC0AFD6C3754314

8752A7A052BA75239B86B0DA1D483DD7

SHA1：A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4

6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89

文件類型：PE EXE。

文件大小：109，896 字節(jié)

傳播途徑：網(wǎng)頁掛馬、下載器下載等、U盤傳播、貢獻文件傳播等

專殺信息：暫無

影響系統(tǒng)：Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等

樣本概況

這是2019年比較新的勒索病毒，主要在韓國傳播，近期有向國內(nèi)傳播的趨勢，且發(fā)現(xiàn)多個變種。變種主要更改執(zhí)行流程和部分特征來達到躲避檢測的目的，且該邊度很多危險行為，比如開機啟動，拷貝自身文件等敏感操作都不具備，所以增加了查殺變種的難度。目前該病毒加密后，雖然發(fā)了勒索文檔，但是由于加密的特殊性，基本無法解密。

?

樣本危害

該樣本會加密磁盤上的文件，并生成勒索文檔，由于加密算法的特殊性，加密的Key是根據(jù)原文件自己計算得出，所以基本無解密的可能性。

文件行為

1). 加密磁盤中所有文件并生成 “文件名”+.Clop后綴的文件

2). 生成勒索病毒文本ClopReadMe.txt

進程行為

執(zhí)行磁盤及網(wǎng)絡(luò)磁盤的遍歷，進行加密，進程名為病毒本身名字。

另外個別變種會創(chuàng)建名為SecurityCenterIBM的服務(wù)。

應(yīng)對措施及建議

1). 安裝防毒殺毒軟件并將病毒庫升級為最新版本，并定期對計算機進行全盤掃描。

2). 盡量把文件設(shè)置為顯示后綴，以避免誤點類似的偽裝為文件夾的病毒。

3). 大部分的病毒都需要以管理員身份運行，正常情況下使用計算機時盡量不使用超級管理員權(quán)限登錄，在UAC彈窗的提示下盡量確認文件的安全性再運行文件。

4). 在使用移動介質(zhì)前，應(yīng)對移動介質(zhì)內(nèi)文件進行掃描確認不攜帶病毒文件。

5). 網(wǎng)絡(luò)文件服務(wù)器，共享文件夾盡量設(shè)置密碼并避免使用弱密碼。

6). 現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補丁也很關(guān)鍵。

7). 為本機管理員賬號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。

8). 不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。