1、基本情况

　　新型勒索病毒Clop在国内开始传播，该病毒暂无有效的解密工具。Clop勒索病毒使用RC4算法加密受害者文件，通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾，造成企业大量数据被加密。

　　2、攻击原理

　　Clop勒索病毒使用RC4算法加密受害者文件，通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾，被加密文件后缀被修改为.Clop 。该病毒个别变种使用了国外公司有效的数字签名进行伪装，危害不容小觑。

　　Clop勒索病毒首先会结束大量文件占用类进程，以保证加密文件过程中避免因文件占用造成加密失败，病毒会尝试以白名单过滤的方式加密本地磁盘和网络共享目录文件，加密时通过判断文件大小来采取不同的加密方式。对每个文件生成文件加密密钥，加密文件完成后使用内置的RSA公钥加密文件密钥信息后追加到文件末尾，被加密后的文件暂时无法解密。

　　该勒索病毒最终会留下名为ClopReadMe.txt的勒索说明文档，恐吓受害者，要求在两周内联系病毒作者缴纳赎金，否则将无法恢复文件。

　　3、影响范围

　　该勒索病毒主要活跃地区在韩国，并出现在国内传播的趋势，以有企业遭受该病毒攻击。

　　4、处置建议

　　Clop勒索病毒以防为主，目前该病毒暂无有效的解密工具，注意日常防范措施：

　　1) 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

　　2) 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

　　3) 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

　　4) 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

　　5) 对重要文件和数据（数据库等数据）进行定期非本地备份。

　　6) 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在具备专业安全防护能力的云服务。

　　5、 参考链接

　　1) http://sec.sangfor.com.cn/events/206.html