스팸메일 및 취약점을 통해 유포되는 Spora 랜섬웨어

바로가기(.lnk) 파일을 생성하여 지속적인 감염을 유도하는 Spora 랜섬웨어가 해외에서 발견되었다. 

최초 발견 당시 러시아를 타겟으로 ‘청구 PDF’문서로 가장한 악성 HTA파일(MD5 : 37477dec05d8ae50aa5204559c81bde3, V3 진단 : VBS/Saclesto(2017.02.20.00))을 메일에 첨부하여 스팸 형태로 유포되었다. HTA파일은 HTML 어플리케이션으로서 내부의 스크립트를 브라우저 없이 실행 가능한 형태로 만들어진 파일이다. 첨부 된 HTA파일을 실행할 경우 Spora 랜섬웨어가 생성 및 실행되어 감염을 일으킨다.

최근에는 스팸 메일 뿐 아니라 Rig-V Exploit kit을 통하여 SWF Flash 취약점을 이용하거나 Chrome사용자를 타겟으로 허위 Popup 창을 통해 접근 유도하여 유포하는 것을 알 수 있다.

[그림 1] - 유포 방식 구조 

[그림 2] - Case3. 허위 Update 클릭 유도하는 Chrome Popup

*출처: Malware-Traffic-Analysis.net

Spora 랜섬웨어 실행 파일은 Visual C로 작성 되었으며 때에 따라 UPX로 팩 되어 유포된다. 실행 시 내부에 존재하는 PE 이미지를 메모리 상에서 자기자신에 삽입하여 동작하며 아래와 같은 명령으로 볼륨 쉐도우 카피를 삭제하여 Windows 운영체제에서 제공하는 파일 백업 및 복원 기능을 사용할 수 없게 한다. 

WIMC를 이용한 명령 수행

"C:\Windows\System32\wbem\WMIC.exe" process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"

[표 1] - WMIC 명령어

감염 시에는 아래와 같은 23개 확장자 파일들이 암호화 되며 최상위 드라이브에 복구와 관련한 .HTML, .KEY, .LST 파일, 바로가기 (.lnk) 파일 및 원본 Spora 랜섬웨어 복사본이 숨김 속성으로 생성된다. 기존에 존재하던 폴더는 아래와 같이 숨김 속성으로 변하고 그 이름으로 바로가기 파일들이 생성되기 때문에 폴더 접근을 원하는 사용자는 바로가기 파일을 폴더로 착각하여 실행 할 수 있다. 

암호화 대상 파일 확장자

.backup, .zip, .rar, .7z, .pdf, .xls, .xlsx, .doc, .docx, .rtf, .odt, .cd, .mdb, .1cd, .dbf, . sqlite, .accdb, .jpg, .jpeg, .tiff, .cdr, .psd, .dwg

[표 2] - 암호화 대상 확장자

[그림 3] - 감염 후 변경 된 최상위 폴더

생성 된 바로가기(.lnk) 파일은 다음과 같은 명령을 수행한다.

[그림 4] - 바로가기 파일 명령

따라서 바로가기 파일 실행 시 원본이 복사 된 Spora 랜섬웨어 파일이 실행된다.

그리고 USB가 연결 된 후 감염이 이루어지면 USB 최상위 경로에도 바로가기 파일이 생성되기 때문에 감염 USB를 다른 시스템에 연결 후 바로가기 파일을 실행한다면 추가 전파 피해가 발생 할 수 있다.  

또한 Spora 랜섬웨어는 다른 랜섬웨어와 다르게 감염 후 파일명 및 확장자를 변경하지 않는다. 따라서 파일을 열기 전에 파일명만으로는 감염여부를 짐작할 수 없다.

[그림 5] - 파일명은 감염 전과 동일하지만 내부 데이터 변경으로 열리지 않음

모든 감염이 끝난 후 복구관련 안내 화면을 확인 할 수 있다. 감염 후에 생성 된 감염자의 고유한 번호를 통해 복구 화면(https://spora.bz)으로 이동하면 복구 시 지불해야 하는 가격이 표시된다. 또한 감염자의 고유번호로 페이지에 로그인하면 제작자와의 채팅기능이 활성화 된다.

[그림 6] - 감염 후 실행 된 .HTML 파일

[그림 7] - 감염 후 실행 된 .HTML 파일

랜섬웨어의 특성상 완벽한 복구 방법이나 예방법은 없지만 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.

또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 시 사용자의 각별한 주의가 필요하다.

현재 V3에서는 Spora 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

- Trojan/Win32.Spora (2017.01.17.04)