ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다.
해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다.
닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를 통해 랜섬웨어 파일을 최종적으로 로드하여 실행하는 구조이다. 리소스 영역의 존재하는 데이터 중 ‘dVvYsaL’를 메모리 상에서 디코딩하여 파일을 실행시키는데 이 데이터가 바로 로더와 랜섬웨어 데이터를 포함한다. 이와 같은 방식은 기존 ASEC 블로그에서도 소개된 바가 있다.
그리고 이 리소스 영역에는 음란물 사진도 함께 포함되어있으며, 그 내용은 아래 그림2와 같다.
실행된 추가 로더 파일은 복사본을 ‘GvsqHuTYODA.exe’ 파일명으로 %AppData% 경로에 드롭하고, 작업 스케줄 등록을 수행한다.
- schtasks.exe /Create /TN “Updates\GvsqHuTYODA” /XML “%Temp%\tmpF6C.tmp”
작업 스케줄러 등록을 마친 파일은 “{path}” 라는 파라미터와 함께 랜섬웨어 행위를 하는 PE 파일을 재귀실행하여 파일 암호화를 수행한다.
실행된 프로세스는 감염 행위를 시작하기 전, 가상 환경을 확인하는 로직을 거친다.
이 후, 감염의 범위를 확장하기 위해 드라이브 정보를 확인하는 로직을 거치고, 파일 암호화를 수행하는 루틴으로 이동한다.
파일 암호화는 공유폴더를 암호화하는 쓰레드와 로컬 환경을 암호화하는 쓰레드로 이루어져 있다.
파일 암호화는 Windows 폴더를 제외한 모든 파일을 대상으로 진행되며, 파일 암호화 이후에는 시스템 복구를 방해하기 위한 볼륨쉐도우 삭제 기능을 수행한다.
감염된 시스템에서는 파일 암호화가 수행된 경로에서 아래와 같은 ReadMe.txt의 랜섬노트 확인이 가능하며, 감염된 파일 끝에는 “CRYPTO LOCKER”의 문자열이 확인 가능하다.
안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 TZW 확장자 랜섬웨어에 사용되는 PE파일을 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단]
- Ransomware/Win.Generic.C5355494 (2023.01.11.02)
- Trojan/Win.MSILKrypt.C5020026 (2022.03.21.01)
- Trojan/Win32.RansomCrypt.R343432 (2020.07.08.05)
[행위 진단]
- Malware/MDP.Inject.M218 (2019.10.30.02)
[IOC 정보]
- eae94abe9753634f79a91ecb4da7ff72
- 10daa4697b861d3dc45a0a03222ba132
- f1ab4f5cbf5fc72c4033699edadc4622
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보