안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다.
암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다.
암호화가 끝나면 바탕화면을 변경하여 RSA-2048 과 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다.
또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다.
암호화에서 제외되는 폴더는 다음과 같다.
- Windows
- Program Files
- Games
- Tor Browser
- ProgramData
- cache2entries
- LowContent.IE5
- User DataDefaultCache
- All Users
- AhnLab
암호화에서 제외되는 파일은 다음과 같다.
- autorun.inf
- boot.ini
- desktop.ini
- ntuser.dat
- iconcache.db
- bootsect.bak
- ntuser.dat.log
- thumbs.db
- Bootfont.bin
사용자 정보를 전송하기 위해 사용하는 확인된 C&C 는 아래와 같다.
- 92.63.32[.]2
- 92.63.8[.]47
- 92.63.37[.]100
- 92.63.194[.]20
- 92.63.17[.]245
- 92.63.32[.]55
- 92.63.11[.]151
- 92.63.194[.]3
- 92.63.15[.]8
- 92.63.29[.]137
- 92.63.32[.]57
- 92.63.15[.]56
안랩 V3 제품군에서는 아래와 같이 진단하며, 해당 랜섬웨어는 취약점을 통해 유포 중인 만큼 인터넷 익스플로러와 Adobe Flash Player 를 최신으로 유지할 필요가 있다.
[파일진단]
Trojan/Win32.RansomCrypt (2019.05.28.06)
[행위진단]
Malware/MDP.Ransom.M1171
[취약점 패치]
1. 인터넷 익스플로러 최신 다운로드 페이지
https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads
2. Adobe Flash Player 최신 다운로드 페이지 (CVE-2018-15982)
https://get.adobe.com/flashplayer/
Categories:악성코드 정보