가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자)

ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다.

파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다.

• http[:]//mopg.top/files/penelop/updatewin1.exe
• http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true
• http[:]//mopg.top/files/penelop/updatewin2.exe
• http[:]//mopg.top/files/penelop/updatewin.exe
• http[:]//mopg.top/files/penelop/3.exe
• http[:]//mopg.top/files/penelop/4.exe
• http[:]//mopg.top/files/penelop/5.exe
• http[:]//paunsaugunt.com/517
• http[:]//paunsaugunt.com/freebl3.dll
• http[:]//paunsaugunt.com/mozglue.dll
• http[:]//paunsaugunt.com/msvcp140.dll
• http[:]//paunsaugunt.com/nss3.dll
• http[:]//paunsaugunt.com/softokn3.dll
• http[:]//paunsaugunt.com/vcruntime140.dll

아래의 그림은 _readme.txt 이름으로 생성된 랜섬노트를 나타낸다.

해당 악성코드 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다.

외부에서 다운로드한 파일들은 아래의 경로에 생성되며, 해당 폴더에 접근권한을 부여하여 삭제되지 않도록 하는 기능을 수행한다. (폴더명은 사용자마다 가변으로 추정)

• C:Users%사용자계정%AppDataLocalfee4dc7-4518-478c-8290-735cf669e86fupdatewin2.exe
• C:Users%사용자계정%AppDataLocalfee4dc7-4518-478c-8290-735cf669e86fupdatewin1.exe
• C:Users%사용자계정%AppDataLocalfee4dc7-4518-478c-8290-735cf669e86fupdatewin.exe

악성코드 생성 폴더에 대한 접근권한 부여

• icacls “C:Users%사용자계정%AppDataLocal5a62d912-778b-4591-873d-4c9826534ff8” /deny *S-1-1-0:(OI)(CI)(DE,DC)

상세한 내용은 아래 글을 참고하면 된다.

2019/11/08 – [악성코드 정보] – 개인정보까지 유출하는 STOP 랜섬웨어 변종확인 (.mosk 확장자)

개인정보까지 유출하는 STOP 랜섬웨어 변종확인 (.mosk 확장자)

안랩 ASEC 분석팀은 11월 7일에 BlueCrab 랜섬웨어와 동일 외형으로 ANTEFRIGUS 이름의 랜섬웨어를 공개하였다. 이후 하루 만에 외형정보는 동일하나 랜섬노트와 감염방식이 STOP 랜섬웨어와 유사한 형태가 국내..

사용자는 의심스러운 이메일 및 첨부파일을 실행할때 주의가 필요하며, 신뢰할 수 없는 사이트 접속은 하지 말아야 한다.

현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

[파일진단]

• Malware/Win32.Generic (2020.03.02.01)

[행위진단]

• Malware/MDP.Ransom.M1171