저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어

ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다.

그림1. 메일 내용

첨부파일 내부에는 알집으로 압축된 파일이 존재하며, 아래와 같이 총 3개의 파일이 존재한다.

그림2. 첨부파일 내부

이 중 이미지 원본.jpg 파일은 정상 실행파일이며, 나머지 실행 파일의 경우 동일한 파일로 랜섬웨어 악성코드이다. 해당 파일은 아래와 같이 CCleaner Installer 인 것 처럼 위장하였다.

그림3. 파일 속성

랜섬웨어 파일 실행 시 아래 명령어를 사용하여 볼륨 섀도우 복사본을 삭제한 후 암호화를 진행한다.

vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wmic shadowcopy delete
실행 명령어

또한, 실행중인 문서 파일 등을 암호화 하기 위해 실행 중인 프로세스 중 아래의 이름을 가진 프로세스를 종료한다.

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe
종료 프로세스 목록

암호화 제외 폴더 및 파일과 제외 확장자명은 아래와 같다. 기존 랜섬웨어에서 usagoo, pecunia 확장자가 추가되었다.

boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini
암호 제외 파일
Makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, origami, tomas, RAGA, zbw, fireee, XXX, element, HELP, zes, lockbit, captcha, gunga, fair, SOS, Boss, moloch, vassago, usagoo, pecunia, exe, dll
암호 제외 확장자

암호화된 파일은 .[랜덤8자].[pecunia0318@airmail.cc].pecunia 확장자가 추가되며, 암호화가 이루어진 폴더에 readme-warning.txt 파일명을 가진 랜섬노트가 생성된다.

암호화된 파일
랜섬노트
  • 이전 랜섬웨어 게시글


해당 랜섬웨어는 이전부터 꾸준히 입사지원서와 저작권 위반 관련 내용으로 위장하여 유포되고 있어, 사용자들의 각별한 주의가 필요하다. 또한, 알 수 없는 사용자로부터 받은 메일의 첨부파일은 열람을 자제해야한다.

현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고있다.

[파일 진단]
Ransomware/Win.MakopRansom.C4439397

[행위 진단]
Malware/MDP.Behavior.M3635

[IOC 정보]
237d76f961f8f550c4c4bbfab30153a6

Categories:악성코드 정보

Tagged as:,

5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
황기현
황기현
4 months ago

확장자가 rejg 에 대한 정보 및 치료에 대하여 부탁 드립니다.