Clop勒索软件漏洞允许Linux受害者恢复文件

Clop 勒索软件团伙现在也在使用一种明确针对 Linux 服务器的恶意软件变体，但加密方案中的一个缺陷使受害者能够在几个月内悄悄地免费恢复他们的文件。

这个新的 Linux 版本的 Clop 于 2022 年 12 月被SentinelLabs的研究员 Antonis Terefos 发现，此前威胁组织将它与 Windows 变体一起用于对哥伦比亚一所大学的攻击。

虽然与 Windows 版本非常相似，因为它们都使用相同的加密方法和几乎相同的过程逻辑，但仍存在一些差异，主要限于操作系统 API 调用和仍在等待在 Linux 变体中实现的功能。

Clop 的 Linux 恶意软件也处于早期开发阶段，因为它仍然缺少适当的混淆和规避机制，而且它受到漏洞的困扰，这些漏洞使受害者无需向骗子支付任何费用就可以检索他们的文件。

Clop 勒索软件的 Linux 可执行文件 (ELF)  在启动时创建一个新进程，试图将权限提升到允许数据加密的级别。

它针对的文件和文件夹包括用户的“/home”目录，其中包含所有个人文件、“/root”目录、“/opt”和用于存储的 Oracle 目录（“/u01”-“/u04”）数据库文件或作为 Oracle 软件的安装点。

Oracle 数据库文件夹的特定目标在 Linux 勒索软件加密器中并不常见，它们通常专注于加密 ESXi 虚拟机。

Linux 变体也不支持 Windows 版本用于从加密中排除某些文件类型和文件夹的哈希算法。此外，在 Linux 上没有区别对待各种大小文件的机制。

Linux 版本的 Clop 中不存在的其他功能包括缺少驱动器枚举，这将有助于找到递归加密文件夹的起点，以及命令行参数以提供对加密过程的额外控制。

当前的 Linux 版本也不会使用 Windows 变体中使用的基于 RSA 的非对称算法来加密用于文件加密的 RC4 密钥。

相反，在 Linux 版本中，Clop 使用硬编码的 RC4“主密钥”来生成加密密钥，然后使用相同的密钥对其进行加密并将其存储在本地文件中。此外，RC4 密钥从未经过验证，而在 Windows 中，它会在启动加密之前进行验证。

这种薄弱的方案不能保护密钥不被自由检索和加密不被逆转，SentinelLabs 已经做到了这一点（一个 Python 脚本可以做到这一点，现在可以在 GitHub 上获得文末提供地址）

加密方案缺陷

除了缺乏密钥安全性之外还发现，当将加密密钥写入文件时，恶意软件还会写入一些额外的数据，例如文件的详细信息，例如文件的大小和加密时间。

这些数据应该被隐藏起来，因为它可以帮助取证专家对特定的、有价值的文件进行有针对性的解密。

将 RC4 和额外数据写入文件

适用于 Linux 的 Clop 勒索软件不太可能成为当前形式的广泛威胁。解密器的发布可能会促使其作者发布具有适当加密方案的安全和改进版本。

他们已经与执法部门分享了他们的解密器，因此他们可以帮助受害者恢复他们的文件。

我们很早就与相关执法和情报合作伙伴分享了我们的发现，并将继续与相关组织合作，以影响勒索软件领域的经济效益，从而有利于防御者。

尽管存在弱点，但在实际的 Clop 攻击中使用 Linux 变体表明，对于威胁行为者而言，拥有 Linux 版本，即使是易于妥协的版本，仍然比无法攻击目标组织内的 Linux 系统更可取。

Cl0p 勒索软件以加密有缺陷的 Linux 系统为目标 | 解密器可用