Clop勒索病毒的安全防御及数据恢复方案

近日,国内安全威胁情报中心监测到新型勒索病毒Clop在国内开始传播,国内某企业被***后造成大面积感染,致该受害企业大量数据被加密而损失严重,我们提醒各政府企业单位注意防范。
与其他勒索病毒不同,也是最可怕的地方是:Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类***程序中。勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,造成无法逆转的损失。

病毒分析
Clop勒索病毒首先会结束大量文件占用类进程,以保证加密文件过程中避免因文件占用造成加密失败,病毒会尝试以白名单过滤的方式加密本地磁盘和网络共享目录文件,加密时通过判断文件大小来采取不同的加密方式。对每个文件生成文件加密密钥,加密文件完成后使用内置的RSA公钥加密文件密钥信息后追加到文件末尾,被加密后的文件暂时无法解密。
病毒运行后首先结束大量文件占用进程,列表如下:

遍历当前系统磁盘准备从根目录开始对文件加密,同时会遍历局域网内共享目录,对有权限写入的文件进行加密。
白名单后缀
.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop
文件
ntldr、NTLDR、boot.ini、BOOT.INI、ntuser.ini、NTUSER.INI、AUTOEXEC.BAT、autoexec.bat、NTDETECT.COM、ntdetect.com、ClopReadMe.txt
目录
Chrome、Mozilla、Recycle.bin、Microsoft、AhnLab、AllUsers、ProgramData、ProgramFiles(x86)、PROGRAMFILES(X86)、ProgramFiles、PROGRAMFILES
病毒在加密文件时,会判断文件大小,当文件大于0x2dc6c0字节(约2.8-2.9MB)时,采用文件映射方式改写文件数据,且加密数据大小固定为0x2DC6C0字节(约2.8-2.9MB),其余情况则以采取先读取文件实际大小,加密文件数据,写入新文件加密内容,删除原文件的方式完成加密过程。对每个文件生成导出一个RSA公钥(文件加密算法非RSA,但用该密钥)


勒索说明文档 ClopReadMe.txt 通过查找资源SIXSIX解密后创建。解密方式为硬编码数据模运算后加循环异或。

留下名为 ClopReadMe.txt 的勒索说明文档,恐吓受害者,要求在两周内联系病毒作者缴纳赎金,否则将无法恢复文件。

安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被后作为跳板进一步其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

原文地址:https://blog.51cto.com/14119124/2354940

时间: 2024-10-28 08:14:16

Clop勒索病毒的安全防御及数据恢复方案的相关文章

后缀.phobos勒索病毒解密成功恢复sql文件 数据恢复

后缀.phobos勒索病毒解密成功 恢复sql文件 数据恢复四川某公司中了后缀手机.phobos的勒索病毒,服务器里文件全部被加密,公司领导非常重视,命令网管尽快解决问题,挽回公司损失,网管再网上找到我们后,经过一天的处理,成功恢复所有中毒文件.为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮件,防止通过邮件附件的:2.尽量不要点击office宏运行提示,避免来自office组件的病毒感染:3.需要的软件从正规(官网)途径下载,不要双击打开.js.

btc勒索病毒文件恢复及数据库恢复方案

BTC勒索软件病毒是一种网络威胁,可锁定用户数据,这种病毒最初是在2016年底发现的. 它也被称为BTCLocker勒索软件,来自同一家族的旧Radamant勒索软件.然而,由于名称与Dharma勒索软件所使用的名称相匹配,因此在文件扩展名中具有各种类似版本的BTC,因此存在其他关联 . 在这种情况下,加密病毒附加.id- [victim's_ID].[[email protected]]br/>.btc文件扩展名.上网后,每一种勒索软件病毒都开始加密[1]文件并使它们无用,然后通过附加.BTC

2019年6月勒索病毒的整理分析和数据恢复

一.勒索病毒整理分析 勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁,变成了网络不法分子最普遍.最简单粗暴地活力手段.从5月的数据分析,勒索病毒受害人数略有上升,其中GlobeImposter的受害者数量居首位,新增的GetCrypt勒索病毒也较为值得关注. 但是宏观的来看,存在着工作日比较多,节假日相对较少的趋势:其实是在工作日,用户能更早或第一时间发现机器中毒的状况. 对5月勒索病毒家族占比分析发现,本月GlobeImposter家族占比31.4%居首位,其次是占比为20.66%的Gan

解决后缀auchentoshan勒索病毒的办法 防御措施以防中招how_to_open_files.

后缀auchentoshan勒索病毒在近两个月持续高发,北京.上海.南京等多地公司中招,auchentoshan@protonmail.com经研究人员发现,该.auchentoshan勒索病毒是一个cryptovirus,.当.auchentoshan勒索病毒加密您的文件时,它会将.auchentoshan扩展名放到每个文件中,并显示带有付款说明的勒索信息.该病毒是GlobeImposter的变种.为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮

Windows勒索病毒防范、解决方法全攻略

[防御措施建议] 1.安装杀毒软件,保持安全防御功能开启,比如金山毒霸已可拦截(下载地址http://www.duba.net),微软自带的Windows Defender也可以. 2.打开Windows Update自动更新,及时升级系统. 微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的"永恒之蓝"漏洞,同时针对停止支持的Windows XP.Windows Server 2003.Windows 8也发布了专门的修复补丁. 最新版

最全“勒索病毒”的应对方案

欢迎大家持续关注葡萄城控件技术团队博客,更多更好的原创文章尽在这里~~ 5月12日,"勒索病毒"在全球爆发了.截止到目前为止,包括英国.中国.美国.俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击. "勒索病毒"有什么危害? 这种名为"WannaCrypt"的病毒,会扫描开放445文件共享端口的Windows设备,电脑在联网的状态下,黑客就能通过该病毒向电脑中植入勒索软件.远程控制木马.虚拟货币挖矿机等恶意程序. 所有受害电脑中的文件和软件

达思sql数据库修复软件:用友金蝶管家婆思迅中了勒索病毒怎么办?

近几年,勒索病毒肆虐网络,通过网站漏洞.恶意程序.诱导邮件等方式飞速蔓延,很多企事业单位被恶意×××损失惨重,被病毒加密的文件会附带一个解密的说明,勒索受害者巨额赎金(一般为1-3个比特币,折合人民币5-18万元左右). 勒索病毒席卷全球 我们只能交赎金吗? 一.勒索病毒加密的文件有什么特点? 1.勒索病毒的后缀有: .java..CHAK..RESERVE..GOTHAM..aleta..arrow..TRUE..rapid..FREE.MAN..WannaCry..arena..sexy..

自述:中了勒索病毒后的一波挽救操作!(灾备云—数据备份、恢复)

(IDC彭帅)自从用上了Ucache灾备云的云备份服务之后,简真方便的不得了,提醒大家数据千万条,安全第一条,一定要及时把想备份的内容做个备份!现在就和大家说说我自从中了勒索病毒之后怎么用上云灾备的故事吧! 一.事件起因:公司服务器中了"勒索病毒" 因为公司托管的服务器过年这段时间运维都放假了没人管理,结果就中招了"勒索病毒".导致服务器里的OA系统.财务系统等文件全部被加密,因为平时也没有做备份的习惯,这下真是肠子都要毁青了.这也是我要告诉大家为什么要做这个数据备

2019年4月最新勒索病毒样本分析及数据恢复

1. satan病毒升级变种satan_pro特征:.satan_pro 后缀勒索邮箱:[email protected] [email protected] 等 2.YYYYBJQOQDU勒索病毒特征:.YYYYBJQOQDU后缀勒索邮箱:[email protected] 等 3.ciphered勒索病毒特征:.ciphered后缀勒索邮箱:[email protected] [email protected][email protected] 等 4.p3rf0rm4勒索病毒特征:.p3r