TZW 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다.

해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다.

[그림 1] 파일 버전 정보

닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를 통해 랜섬웨어 파일을 최종적으로 로드하여 실행하는 구조이다. 리소스 영역의 존재하는 데이터 중 ‘dVvYsaL’를 메모리 상에서 디코딩하여 파일을 실행시키는데 이 데이터가 바로 로더와 랜섬웨어 데이터를 포함한다. 이와 같은 방식은 기존 ASEC 블로그에서도 소개된 바가 있다.


그리고 이 리소스 영역에는 음란물 사진도 함께 포함되어있으며, 그 내용은 아래 그림2와 같다.

[그림 2] 로더 파일을 포함한 리소스
[그림 3] 실행 로직
[그림 4] 로더 파일

실행된 추가 로더 파일은 복사본을 ‘GvsqHuTYODA.exe’ 파일명으로 %AppData% 경로에 드롭하고, 작업 스케줄 등록을 수행한다.

  • schtasks.exe /Create /TN “Updates\GvsqHuTYODA” /XML “%Temp%\tmpF6C.tmp”
[그림 5] 작업 스케줄러 등록

작업 스케줄러 등록을 마친 파일은 “{path}” 라는 파라미터와 함께 랜섬웨어 행위를 하는 PE 파일을 재귀실행하여 파일 암호화를 수행한다.

[그림 6] 최종으로 실행되는 랜섬웨어

실행된 프로세스는 감염 행위를 시작하기 전, 가상 환경을 확인하는 로직을 거친다.

[그림 7] 가상 환경 확인 로직
[그림 8] 가상 환경 확인 로직

이 후, 감염의 범위를 확장하기 위해 드라이브 정보를 확인하는 로직을 거치고, 파일 암호화를 수행하는 루틴으로 이동한다.

[그림 9] 드라이브 탐색

파일 암호화는 공유폴더를 암호화하는 쓰레드와 로컬 환경을 암호화하는 쓰레드로 이루어져 있다.

[그림 10] 감염 쓰레드
[그림 11] 공유 폴더 암호화 코드 일부
[그림 12] 파일 암호화 로직

파일 암호화는 Windows 폴더를 제외한 모든 파일을 대상으로 진행되며, 파일 암호화 이후에는 시스템 복구를 방해하기 위한 볼륨쉐도우 삭제 기능을 수행한다.

[그림 13] 볼륨쉐도우 삭제

감염된 시스템에서는 파일 암호화가 수행된 경로에서 아래와 같은 ReadMe.txt의 랜섬노트 확인이 가능하며, 감염된 파일 끝에는 “CRYPTO LOCKER”의 문자열이 확인 가능하다.

[그림 14] 랜섬노트
[그림 15] 감염된 파일

안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 TZW 확장자 랜섬웨어에 사용되는 PE파일을 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

  • Ransomware/Win.Generic.C5355494 (2023.01.11.02)
  • Trojan/Win.MSILKrypt.C5020026 (2022.03.21.01)
  • Trojan/Win32.RansomCrypt.R343432 (2020.07.08.05)

[행위 진단]

  • Malware/MDP.Inject.M218 (2019.10.30.02)

[IOC 정보]

  • eae94abe9753634f79a91ecb4da7ff72
  • 10daa4697b861d3dc45a0a03222ba132
  • f1ab4f5cbf5fc72c4033699edadc4622

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments