CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화

ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 “desine sperare qui hic intras”는 라틴어로 “여기에서 우리는 희망을 포기”라는 의미이다.

CORONAVIRUS 랜섬웨어 랜섬노트

해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다.

자사 동적 분석 머신 (RAPIT) 의 동적 분석 결과 중 일부 

암호화 시 아래와 같이 원본 파일이름이 변경됨을 알 수 있다. (파란색이 원본 파일이름)

  • C:coronaVi2022@protonmail.ch___autoexec.bat
  • C:coronaVi2022@protonmail.ch___document_bmp.bmp
  • C:coronaVi2022@protonmail.ch___document_png.png
  • C:coronaVi2022@protonmail.ch___document_txt.txt

이 랜섬웨어는 파일감염 뿐만 아니라 디스크 감염도 이루어 진다. 사용자가 감염된 후 재부팅이 되면 정상적인 부팅이 아닌 랜섬노트가 발생한다.

감염된 MBR 영역

부팅 시 윈도우 서비스를 로드하기 전 실행을 위해 아래의 레지스트리 경로의 BootExecute에 자기자신을 등록 한다.

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
변경된 BootExecute 데이터

일반적인 랜섬웨어에서는 윈도우 복원기능을 통한 백업을 수행하지 못하도록 vssadmin.exe를 이용한 볼륨섀도 복사본을 삭제하는 기능이 존재한다. 하지만, 이 랜섬웨어는 추가로 wbadmin.exe를 이용하여 시스템 백업까지 삭제하는 것이 특징이다. wbadmin.exe 파일은 vssadmin.exe 와 마찬가지로 윈도우 시스템 제공 정상파일이며 워너크라이 랜섬웨어에서도 사용된 적이 있다. (wbadmin delete catalog -quiet)

윈도우 제공 vssadmin.exe & wbadmin.exe

  • vssadmin.exe (볼륨 섀도 복사본 서비스 관리 명령줄 도구)
  • wbadmin.exe (백업 명령줄 도구)

CoronaVirus 랜섬웨어 수행 명령들

  • vssadmin.exe Delete Shadows /ALL /Quiet -> 볼륨섀도 복사본 삭제
  • wbadmin.exe delete backup -keepVersions:0 -quiet -> 시스템 백업을 0개 남기고 모두 삭제
  • wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet -> 시스템 상태 백업을 0개 남기고 모두 삭제
wbadmin 명령어

[파일진단]

  • Trojan/Win32.RansomCrypt (2020.03.24.05)

[행위진단]

  • Malware/MDP.Ransom.M2812
  • Malware/MDP.Manipulate.M2818
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments