본문 바로가기

악성코드 정보

'AhnLab' 폴더를 암호화에서 제외하는 Maze 랜섬웨어

안랩 ASEC은 지난 524일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다.

 

암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다.

 

[ 그림 -1]  암호화 후 변경된 확장자
[ 그림 -2] DECRYPT-FILES.html  내용

  

암호화가 끝나면 바탕화면을 변경하여 RSA-2048 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다.

 

[ 그림 -3]  감염바탕화면

 

또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다.  

 

[ 그림 -4] AhnLab  폴더 제외 코드

 

암호화에서 제외되는 폴더는 다음과 같다.

  • \Windows\
  • \Program Files\
  • \Games\
  • \Tor Browser\
  • \ProgramData\
  • \cache2\entries\
  • \Low\Content.IE5\
  • \User Data\Default\Cache\
  • \All Users\
  • \AhnLab\

암호화에서 제외되는 파일은 다음과 같다.

  • autorun.inf
  • boot.ini
  • desktop.ini
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • ntuser.dat.log
  • thumbs.db
  • Bootfont.bin

사용자 정보를 전송하기 위해 사용하는 확인된 C&C 는 아래와 같다.

  • 92.63.32.2
  • 92.63.8.47
  • 92.63.37.100
  • 92.63.194.20
  • 92.63.17.245
  • 92.63.32.55
  • 92.63.11.151
  • 92.63.194.3
  • 92.63.15.8
  • 92.63.29.137
  • 92.63.32.57
  • 92.63.15.56

안랩 V3 제품군에서는 아래와 같이 진단하며, 해당 랜섬웨어는 취약점을 통해 유포 중인 만큼 인터넷 익스플로러와 Adobe Flash Player 최신으로 유지할 필요가 있다.

 

[파일진단]

Trojan/Win32.RansomCrypt (2019.05.28.06)

 

[행위진단]

Malware/MDP.Ransom.M1171

랜섬웨어 행위에 대한 탐지화면

 

[취약점 패치]

1. 인터넷 익스플로러 최신 다운로드 페이지

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

 

2. Adobe Flash Player 최신 다운로드 페이지 (CVE-2018-15982)

https://get.adobe.com/flashplayer/