ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 “desine sperare qui hic intras”는 라틴어로 “여기에서 우리는 희망을 포기”라는 의미이다.
해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다.
암호화 시 아래와 같이 원본 파일이름이 변경됨을 알 수 있다. (파란색이 원본 파일이름)
- C:coronaVi2022@protonmail.ch___autoexec.bat
- C:coronaVi2022@protonmail.ch___document_bmp.bmp
- C:coronaVi2022@protonmail.ch___document_png.png
- C:coronaVi2022@protonmail.ch___document_txt.txt
이 랜섬웨어는 파일감염 뿐만 아니라 디스크 감염도 이루어 진다. 사용자가 감염된 후 재부팅이 되면 정상적인 부팅이 아닌 랜섬노트가 발생한다.
부팅 시 윈도우 서비스를 로드하기 전 실행을 위해 아래의 레지스트리 경로의 BootExecute에 자기자신을 등록 한다.
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
일반적인 랜섬웨어에서는 윈도우 복원기능을 통한 백업을 수행하지 못하도록 vssadmin.exe를 이용한 볼륨섀도 복사본을 삭제하는 기능이 존재한다. 하지만, 이 랜섬웨어는 추가로 wbadmin.exe를 이용하여 시스템 백업까지 삭제하는 것이 특징이다. wbadmin.exe 파일은 vssadmin.exe 와 마찬가지로 윈도우 시스템 제공 정상파일이며 워너크라이 랜섬웨어에서도 사용된 적이 있다. (wbadmin delete catalog -quiet)
윈도우 제공 vssadmin.exe & wbadmin.exe
- vssadmin.exe (볼륨 섀도 복사본 서비스 관리 명령줄 도구)
- wbadmin.exe (백업 명령줄 도구)
CoronaVirus 랜섬웨어 수행 명령들
- vssadmin.exe Delete Shadows /ALL /Quiet -> 볼륨섀도 복사본 삭제
- wbadmin.exe delete backup -keepVersions:0 -quiet -> 시스템 백업을 0개 남기고 모두 삭제
- wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet -> 시스템 상태 백업을 0개 남기고 모두 삭제
[파일진단]
- Trojan/Win32.RansomCrypt (2020.03.24.05)
[행위진단]
- Malware/MDP.Ransom.M2812
- Malware/MDP.Manipulate.M2818
Categories:악성코드 정보