Posted By ASEC , 2022년 12월 8일

STOP 랜섬웨어 국내 유포 중

ASEC 분석팀은 STOP 랜섬웨어가 국내에 유포되고 있음을 확인하였다. 해당 랜섬웨어는 ASEC 주간 악성코드 통계 (20221128 ~ 20221204)에서 Top3를 차지하고 있을 정도로 다수 유포되고 있다. 최근 유포되는 파일은 SmokeLoader, Vidar와 같이 MalPe 외형을 지니는 것이 특징이다. 유포 파일명은 다음과 같이 4byte의 랜덤한 문자열을 지닌 것으로 확인된다.

%SystemDrive%\users\[user]\appdata\local\temp\4316.exe
%SystemDrive%\users\[user]\appdata\local\temp\8c21.exe
%SystemDrive%\users\[user]\appdata\local\temp\a579.exe
%SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe
%SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe

랜섬웨어 실행 시 먼저 hxxps://api.2ip.ua/geo.json에 접속하여 country code를 확인한다. 아래에 해당하는 경우에는 암호화를 수행하지 않는다.

country code	국가
RU	Russia
BY	Belarus
UA	Ukraine
AZ	Azerbaijan
AM	Armenia
TJ	Tajikistan
KZ	Kazakhstan
KG	Kyrgyzstan
UZ	Uzbekistan
SY	Syria

위에 해당하는 국가가 아닐 경우 %LOCALAPPDATA% 폴더에 [uuid]명으로 폴더를 생성하고 해당 폴더에 실행 파일을 자가 복제한다. 이후 복제한 파일을 –AutoStart 인자를 부여하여 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper 레지스트리에 등록한다.

생성된 레지스트리

또한, 복제된 파일이 변경/삭제 되지 않도록 icacls 명령어를 활용하여 모든 사용자에서 해당 폴더 및 하위 폴더에 대한 모든 권한을 삭제한다.

실행 명령어 : icacls “%LocalAppData%\[uuid]” /deny *S-1-1-0:(OI)(CI)(DE,DC)

수정된 폴더 권한

이후 랜섬웨어 파일이 지속적으로 실행될 수 있도록 Time Trigger Task 명으로 Task 스케쥴러에 작업을 등록한다. Task 스케쥴러에 등록된 파일은 –Task를 인자로 5분마다 실행된다.

작업 스케줄러

이 외에도 랜섬웨어가 관리자 권한으로 실행될 수 있도록 Runas를 통해 –Admin IsNotAutoStart IsNotTask 를 인자로 랜섬웨어를 실행한다.

STOP 랜섬웨어는 파일 암호화를 위해 hxxp://fresherlights[.]com/test1/get.php?pid=[MAC주소의 MD5 HASH값] 에 접속하여 암호화에 사용할 키 데이터을 받아온다. 전송받은 데이터는 %LOCALAPPDATA%\bowsakkdestx.txt 에 저장하고, 해당 주소에 접속이 불가할 경우에는 랜섬웨어 내에 존재하는 데이터를 사용한다.

bowsakkdestx.txt 파일

암호화 제외 폴더 및 파일, 확장자는 다음과 같다.

C:\SystemID\, C:\Users\Default User\, C:\Users\Public\, C:\Users\All Users\, C:\Users\Default\, C:\Documents and Settings\, C:\ProgramData\, C:\Recovery\, C:\System Volume Information\, C:\Users\vmuser\AppData\Roaming\, C:\Users\vmuser\AppData\Local\, C:\Windows\, C:\PerfLogs\, C:\ProgramData\Microsoft\, C:\ProgramData\Package Cache\, C:\Users\Public\, C:\$Recycle.Bin\, C:\$WINDOWS.~BT\, C:\dell\, C:\Intel\, C:\MSOCache\, C:\Program Files\, C:\Program Files (x86)\, C:\Games\, C:\Windows.old\, D:\Users\[user]\AppData\Roaming\, D:\Users\[user]\AppData\Local\, D:\Windows\, D:\PerfLogs\, D:\dell\, D:\Intel\, D:\MSOCache\, D:\Games\, D:\ProgramData\Desktop\, D:\ProgramData\Microsoft\, D:\ProgramData\Package Cache\, D:\$Recycle.Bin\, D:\$WINDOWS.~BT\, D:\Program Files\, D:\Program Files (x86)\, E:\dell\, E:\Windows\, E:\PerfLogs\, E:\Users\Public\, E:\$Recycle.Bin\, E:\$WINDOWS.~BT\, E:\Program Files\, E:\Intel\, E:\MSOCache\, E:\Program Files (x86)\, E:\Games\, E:\ProgramData\Desktop\, E:\Users\vmuser\AppData\Roaming\, E:\Users\vmuser\AppData\Local\, E:\ProgramData\Microsoft\E:\ProgramData\Package Cache\, F:\dell\, F:\Windows\, F:\PerfLogs\, F:\ProgramData\Desktop\, F:\Users\Public\, F:\$Recycle.Bin\, F:\$WINDOWS.~BT\, F:\Intel\, F:\Users\[user]\AppData\Roaming\, F:\Users\[user]\AppData\Local\ , F:\ProgramData\Microsoft\

암호화 제외 폴더

ntuser.dat, ntuser.dat.LOG1, ntuser.dat.LOG2, ntuser.pol

암호화 제외 파일

.sys, .ini, .DLL, .dll, .blf, .bat, .lnk, .regtrans-ms

암호화 제외 확장자

파일 감염 시 “[기존파일명].bowd”로 파일명이 변경되고 아래의 랜섬노트가 생성된다.

랜섬노트 ( _readme.txt )

해당 랜섬웨어는 현재 다수 유포되고 있는 만큼 .bowd 확장자 외에도 다양한 확장자가 확인되었다.

확인 날짜	확장자명
11/03	.bowd
11/07	.zate
11/16	.fatp
11/24	.tcvp
11/29	.kcvp
12/01	.uyit

STOP 랜섬웨어는 다양한 인자값으로 실행되며 각 인자마다 수행되는 기능에 차이가 존재한다. 또한, 파일 암호화 뿐만 아니라 추가 악성코드를 다운로드하는 기능도 존재한다. 현재 STOP 랜섬웨어에서 다운로드 되는 파일은 뱅킹형 악성코드이며 이 외에도 다양한 악성코드가 다운로드 될 수 있어 사용자의 주의가 필요하다.