.SAVEfiles 확장자로 암호화 하는 신종 랜섬웨어 발견

안랩 ASEC은 지난 9월 9일 “.SAVEfiles” 확장자로 암호화 하는 랜섬웨어가 유포된 것을 확인 하였다. 인터넷 브라우저를 통해 Drive by Download 로 유입된 것으로 추정되며 실행 시 일부의 경로를 제외하고 .exe, .dll 등 모든 확장자를 암호화 한다.

[그림 1. 랜섬웨어 실행 과정]

C2로 연결하여 key, Personal id 를 받아오지만 네트워크가 연결되지 않은 환경이라면 내부에 하드코딩된 값을 이용한다.

[그림 2. 내부에 하드코딩된 key, Personal id]


이 후 아래의 암호화 제외 경로를 제외한 폴더의 모든 확장자를 암호화 하여 .SAVEfiles 로 확장자를 변경한다. 

암호화 제외 경로 

C:Windows
C:Program Files (x86)Mozila Firefox
C:Program Files (x86)Internet Explorer
C:Program Files (x86)Google
C:Program FilesMozila Firefox
C:Program FilesInternet Explorer
C:Program FilesGoogle
D:Windows
D:Program Files (x86)Mozila Firefox
D:Program Files (x86)Internet Explorer
D:Program Files (x86)Google
D:Program FilesMozila Firefox
D:Program FilesInternet Explorer
D:Program FilesGoogle

[표 1. 암호화 제외 경로]


[그림 3. 암호화된 파일들]

!!!SAVE_FILES_INFO!!!.txt 파일명으로 랜섬노트를 생성하며, 내용은 아래와 같다. 기존 랜섬웨어와 달리 URL 주소가 아닌 이메일 주소를 통해 제작자와 통신하는 구조이며, 지불비용은 500 달러로 명시되어 있는 것이 특정이다.


[그림 4. 랜섬노트]

현재 안랩은 해당 랜섬웨어를 아래와 같은 진단명으로 진단하고 있다.

파일 진단 : Trojan/Win32.Savefiles.C2701916 (2018.09.10.03)

– 행위 진단 : Malware/MDP.Ransom.M1171

Categories:악성코드 정보

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments