银河国际城网站

使用有效数字签名伪装的Clop勒索病毒

  Clop勒索病毒使用RC4算法加密受害者文件,通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾,被加密文件后缀被修改为.Clop 。病毒个别变种使用了国外公司有效的数字签名进行伪装,危害不容小觑。

  近日捕获到Clop勒索病毒,此病毒运行之后使用RC4算法加密受害者文件,使用病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾。被加密文件后缀被修改为.Clop。此外病毒个别变种使用了国外公司有效的数字签名,可以看到此病毒作者正在积极的伪装病毒,危害不容小觑。

  RC4算法的密钥并不是使用随机数生成,而是通过调用windows密钥生成函数导出一个RSA公钥

  并取导出密钥的前0x75字节,作为RC4的密钥,用此密钥加密文件。如果通过windows api获取密钥失败,则使用病毒内置的密钥加密文件

上一篇:莆田疫情对假期出游发出警讯--健康·生活--人民网

下一篇:没有了