국내 신종 랜섬웨어 발견 (ANTEFRIGUS) – 2019.11.06
안랩 ASEC 분석팀은 2019년 11월 6일 BlueCrab(=Sodinokibi) 과 동일한 외형정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 아래의 그림에서 처럼 wscript.exe 프로세스에 의해 생성된 것으로 확인되어 Exploit kit을 통해 유포되는 것으로 추정된다. wscript.exe에 의해 실행 해당 랜섬웨어의 특징으로는 C:드라이브는 암호화 하지않으며, D:, E:, F:, I:, U:, G: 드라이브를 대상으로 암호화를 진행한다.
빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe)
안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 피싱 다운로드 페이지는 유틸리티 다운로드 페이지로 위장하고 있으며, [그림 1]과 같이 구글 검색 상단에 노출되는 경우도 발견된다. 이러한 감염방식은 과거 갠드크랩(GandCrab) 랜섬웨어부터 사용되는 방식으로 이미 많이 알려진 내용이다. 하지만, 이러한 유포방식(자바스크립트 형태: *.js)에서의 변화는 없지만 자바스크립트 코드 상에서는 새로운 변화가 확인되었으며 변화하는 속도가 빠르게 진행되고 있어 사용자의 주의가 요구된다. *.js 파일 실행 시, 아래와 같은 프로세스 실행흐름을 보여주고 있으며 랜섬웨어 행위는 정상 윈도우 시스템 프로세스를 이용하고 있다. 이러한 변화는 안티바이러스 제품의 탐지를 우회하기 위한 것으로 추정되며, 내부 스크립트 코드에서는 국내 특정 백신 프로그램에 대한 탐지 우회기법도 확인되었다. (과거) wscript.exe -> powershell.exe -> explorer.exe (랜섬웨어 행위)(현재) wscript.exe -> powershell.exe -> notepad.exe (랜섬웨어 행위)
