Clop勒索軟件漏洞允許Linux受害者恢復文件

Clop 勒索軟件團伙現在也在使用一種明確針對 Linux 服務器的惡意軟件變體，但加密方案中的一個缺陷使受害者能夠在幾個月內悄悄地免費恢復他們的文件。

這個新的 Linux 版本的 Clop 于 2022 年 12 月被SentinelLabs的研究員 Antonis Terefos 發現，此前威脅組織將它與 Windows 變體一起用于對哥倫比亞一所大學的攻擊。

雖然與 Windows 版本非常相似，因為它們都使用相同的加密方法和幾乎相同的過程邏輯，但仍存在一些差異，主要限于操作系統 API 調用和仍在等待在 Linux 變體中實現的功能。

Clop 的 Linux 惡意軟件也處于早期開發階段，因為它仍然缺少適當的混淆和規避機制，而且它受到漏洞的困擾，這些漏洞使受害者無需向騙子支付任何費用就可以檢索他們的文件。

Clop 勒索軟件的 Linux 可執行文件 (ELF)  在啟動時創建一個新進程，試圖將權限提升到允許數據加密的級別。

它針對的文件和文件夾包括用戶的“/home”目錄，其中包含所有個人文件、“/root”目錄、“/opt”和用于存儲的 Oracle 目錄（“/u01”-“/u04”）數據庫文件或作為 Oracle 軟件的安裝點。

Oracle 數據庫文件夾的特定目標在 Linux 勒索軟件加密器中并不常見，它們通常專注于加密 ESXi 虛擬機。

Linux 變體也不支持 Windows 版本用于從加密中排除某些文件類型和文件夾的哈希算法。此外，在 Linux 上沒有區別對待各種大小文件的機制。

Linux 版本的 Clop 中不存在的其他功能包括缺少驅動器枚舉，這將有助于找到遞歸加密文件夾的起點，以及命令行參數以提供對加密過程的額外控制。

當前的 Linux 版本也不會使用 Windows 變體中使用的基于 RSA 的非對稱算法來加密用于文件加密的 RC4 密鑰。

相反，在 Linux 版本中，Clop 使用硬編碼的 RC4“主密鑰”來生成加密密鑰，然后使用相同的密鑰對其進行加密并將其存儲在本地文件中。此外，RC4 密鑰從未經過驗證，而在 Windows 中，它會在啟動加密之前進行驗證。

這種薄弱的方案不能保護密鑰不被自由檢索和加密不被逆轉，SentinelLabs 已經做到了這一點（一個 Python 腳本可以做到這一點，現在可以在 GitHub 上獲得文末提供地址）

加密方案缺陷

除了缺乏密鑰安全性之外還發現，當將加密密鑰寫入文件時，惡意軟件還會寫入一些額外的數據，例如文件的詳細信息，例如文件的大小和加密時間。

這些數據應該被隱藏起來，因為它可以幫助取證專家對特定的、有價值的文件進行有針對性的解密。

將 RC4 和額外數據寫入文件

適用于 Linux 的 Clop 勒索軟件不太可能成為當前形式的廣泛威脅。解密器的發布可能會促使其作者發布具有適當加密方案的安全和改進版本。

他們已經與執法部門分享了他們的解密器，因此他們可以幫助受害者恢復他們的文件。

我們很早就與相關執法和情報合作伙伴分享了我們的發現，并將繼續與相關組織合作，以影響勒索軟件領域的經濟效益，從而有利于防御者。

盡管存在弱點，但在實際的 Clop 攻擊中使用 Linux 變體表明，對于威脅行為者而言，擁有 Linux 版本，即使是易于妥協的版本，仍然比無法攻擊目標組織內的 Linux 系統更可取。

Cl0p 勒索軟件以加密有缺陷的 Linux 系統為目標 | 解密器可用