{ "id": "04671f55-7660-4076-945b-e09b9289f01d", "created_at": "2026-05-05T02:46:05.726628Z", "updated_at": "2026-05-05T02:46:37.009682Z", "deleted_at": null, "sha1_hash": "a1f1a15b14461bd227683bc8b23a6d4520e526a7", "title": "[S2W LAB] Analysis of Clop Ransomware suspiciously related to the Recent Incident", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1203322, "plain_text": "[S2W LAB] Analysis of Clop Ransomware suspiciously related to\r\nthe Recent Incident\r\nArchived: 2026-05-05 02:23:56 UTC\r\nAuthor: TALON (BLKSMTH, HOTSAUCE)\r\nDate: 2020-11-23\r\nLast Modified : 2020-12-02\r\n최근 발생한 침해사고와 관련된 것으로 추정되는 Clop 랜섬웨어를 확보하여 분석 진행하였으며 그 결과\r\n에 대한 요약은 아래와 같음\r\n기존 Clop 랜섬웨어의 경우, 암호화된 파일의 내부 컨텐츠와 확장자를 변경하고 암호화키는 파일의 마지\r\n막에 저장하였으나 변종 Clop의 경우 암호화된 파일별로 별도 키파일을 생성하여 암호화키를 저장해둠\r\n키파일 확장자 : .cllp\r\n키파일 헤더 : Cllp^_-\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 1 of 6\n\n랜섬노트 (Ransom Note) 확인결과, 다크웹 상에서 유출 데이터를 공개하는 기존 Clop 랜섬웨어의 유출 사\r\n이트에 있는 컨택 포인트(Email)와 동일함을 확인\r\n동일한 서명 정보를 갖는 Clop Ransomware를 Virustotal에서 추가 발견 (Build time: 11월 21일)\r\n정확한 유포 방식은 현재 조사 중으로 확인된 바 없으나 과거 Clop Ransomware 공격 사례를 통하여 아래와\r\n같은 방식들로 추정\r\nSMB 취약점 등을 이용한 내부 침투\r\nAD (Active Directory) 관리자 계정 유출로 인한 내부 시스템 대규모 전파\r\n스피어피싱 이메일 내 문서형 악성코드 등을 이용한 침투\r\nMD5 : 8b6c413e2539823ef8f8b85900d19724 SHA-1 : 2d92a9ec1091cb801ff86403374594c74210cd44\r\nSHA-256 : 3d94c4a92382c5c45062d8ea0517be4011be8ba42e9c9a614a99327d0ebdf05b Type : Win32\r\nEXE (PE32 executable for MS Windows (GUI) Intel 80386 32-bit) Build Time : 2020-11-20 18:18:18\r\n외형상으로는 악성코드의 구조를 파악 할 수 없게 메모리에 할당(VirtualAlloc)하여 실행되도록 구성\r\nex.bat 이라는 파일을 생성하여 자가삭제를 수행\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 2 of 6\n\nMD5 : 14B7069B25B04EBA875F264BE4F140DA\r\nBuild Time : 2020-11-20 14:35:08\r\n악성코드 행위 흐름\r\n자기 자신을 서비스로 등록하여 실행\r\n서비스 명 : WinCheckDRVs\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 3 of 6\n\n뮤텍스를 이용한 중복 실행 여부 체크\r\n뮤텍스 명 : GKLJHWRnjktn32uyhrjn23io#666\r\nRDP 원격 공유 폴더 암호화 시도\r\n실행 중인 EXPLORER.EXE의 권한 토큰 획득\r\n활성화 된 RDP 세션에 로그인 되어있는 유저의 Primary Access Token 수집\r\n획득한 EXPLORER.EXE 토큰의 유저 명과 동일한 계정의 RDP 세션 토큰 수집\r\n유저 명의 길이가 5이하일 경우 활성화된 세션의 토큰 수집\r\nwinsta0\\default에 “runrun”을 파라미터로 주어 자기 자신 추가 실행\r\n해당 세션의 원격 공유 폴더를 순회하며 암호화 시도\r\n이벤트 로그 삭제 명령어 실행\r\n\u003e Loading PowerShell code…\r\nA~Z까지 모든 드라이브를 순회하며 암호화 시도 (플로피 디스크, CD-ROM 등은 제외)\r\n일부 기능이 추가된 Clop ransomware에는 Restart Manager API를 이용하여 프로세스나 서비스를 강제로 재\r\n시작 후 사용 중인 파일에도 암호화를 시도\r\n랜섬웨어 하드코딩되어있는 RSA Public Key\r\n\u003e Loading Plain Text code…\r\nDesktop 경로는 암호화 대상 폴더에서 제외\r\n파일 명을 ROL 연산으로 해시 값 추출 및 비교하여 일부 파일은 암호화 대상에서 제외\r\nCount\r\n특정 확장자 파일 암호화 대상에서 제외\r\n암호화 제외 대상 확장자\r\n.CI0P : 과거 암호화 파일 확장자\r\n.OCX : ActiveX 파일\r\n.DLL : 동적 라이브러리\r\n.EXE : 실행 파일\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 4 of 6\n\n.SYS : 드라이버 파일\r\n.LNK : 바로가기 파일\r\n.ICO : 아이콘 파일\r\n.INI : 설정파일\r\n.MSI : Installer 파일\r\n.CHM : 도움말 파일\r\n.HLF\r\n.LNG : 언어팩 파일\r\n.TTF : 폰트 파일\r\n.CMD : 배치 파일\r\n.BAT : 배치 파일\r\n.CLLP : 현재 랜섬웨어 암호화 파일\r\n암호화 대상 파일의 크기에 따라 암호화 방식이 다름\r\nsizeof(TargetFile) \u003c 17KB : 암호화 제외\r\n17KB \u003c sizeof(TargetFile) \u003c 2.13MB : 0x4000부터 EOF(End of File)까지 암호화\r\n일반 파일 입출력 방식 사용\r\n2.13MB \u003c sizeof(TargetFile) : 0x10000~0x2089D0 오프셋 범위 암호화\r\n대용량 파일 처리시 효율적이고 속도가 빠른 MMF 방식 사용\r\nMMF : Memory Mapped File의 약자이며, 메모리 맵 파일을 통해 프로세스의 가상 메모리 주소 공간에 파일\r\n을 맵핑한 뒤 가상 메모리 주소에 직접 접근하는 것으로 파일 읽기/쓰기를 대신함\r\n아래는 Clop 랜섬웨어의 암호화 방식에 대한 도식도\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 5 of 6\n\nSource: https://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c9\r\n3e26e6c7aa26\r\nhttps://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26\r\nPage 6 of 6", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://www.notion.so/S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26" ], "report_names": [ "S2W-LAB-Analysis-of-Clop-Ransomware-suspiciously-related-to-the-Recent-Incident-c26daec604da4db6b3c93e26e6c7aa26" ], "threat_actors": [], "ts_created_at": 1777949165, "ts_updated_at": 1777949197, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/a1f1a15b14461bd227683bc8b23a6d4520e526a7.pdf", "text": "https://archive.orkl.eu/a1f1a15b14461bd227683bc8b23a6d4520e526a7.txt", "img": "https://archive.orkl.eu/a1f1a15b14461bd227683bc8b23a6d4520e526a7.jpg" } }