‘AhnLab’ 폴더를 암호화에서 제외하는 Maze 랜섬웨어

안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다.

암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다.

[ 그림 -1]  암호화 후 변경된 확장자
[ 그림 -2] DECRYPT-FILES.html  내용

암호화가 끝나면 바탕화면을 변경하여 RSA-2048 과 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다.

[ 그림 -3]  감염바탕화면

또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다.

[ 그림 -4] AhnLab  폴더 제외 코드

암호화에서 제외되는 폴더는 다음과 같다.

  • Windows
  • Program Files
  • Games
  • Tor Browser
  • ProgramData
  • cache2entries
  • LowContent.IE5
  • User DataDefaultCache
  • All Users
  • AhnLab

암호화에서 제외되는 파일은 다음과 같다.

  • autorun.inf
  • boot.ini
  • desktop.ini
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • ntuser.dat.log
  • thumbs.db
  • Bootfont.bin

사용자 정보를 전송하기 위해 사용하는 확인된 C&C 는 아래와 같다.

  • 92.63.32[.]2
  • 92.63.8[.]47
  • 92.63.37[.]100
  • 92.63.194[.]20
  • 92.63.17[.]245
  • 92.63.32[.]55
  • 92.63.11[.]151
  • 92.63.194[.]3
  • 92.63.15[.]8
  • 92.63.29[.]137
  • 92.63.32[.]57
  • 92.63.15[.]56

안랩 V3 제품군에서는 아래와 같이 진단하며, 해당 랜섬웨어는 취약점을 통해 유포 중인 만큼 인터넷 익스플로러와 Adobe Flash Player 를 최신으로 유지할 필요가 있다.

[파일진단]

Trojan/Win32.RansomCrypt (2019.05.28.06)

[행위진단]

Malware/MDP.Ransom.M1171

랜섬웨어 행위에 대한 탐지화면

[취약점 패치]

1. 인터넷 익스플로러 최신 다운로드 페이지

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

2. Adobe Flash Player 최신 다운로드 페이지 (CVE-2018-15982)

https://get.adobe.com/flashplayer/ 

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments