안랩 ASEC은 지난 9월 9일 ".SAVEfiles" 확장자로 암호화 하는 랜섬웨어가 유포된 것을 확인 하였다. 인터넷 브라우저를 통해 Drive by Download 로 유입된 것으로 추정되며 실행 시 일부의 경로를 제외하고 .exe, .dll 등 모든 확장자를 암호화 한다.

[그림 1. 랜섬웨어 실행 과정]


C2로 연결하여 key, Personal id 를 받아오지만 네트워크가 연결되지 않은 환경이라면 내부에 하드코딩된 값을 이용한다.

[그림 2. 내부에 하드코딩된 key, Personal id]


이 후 아래의 암호화 제외 경로를 제외한 폴더의 모든 확장자를 암호화 하여 .SAVEfiles 로 확장자를 변경한다. 

암호화 제외 경로 

C:\Windows\
C:\Program Files (x86)\Mozila Firefox\
C:\Program Files (x86)\Internet Explorer\
C:\Program Files (x86)\Google\
C:\Program Files\Mozila Firefox\
C:\Program Files\Internet Explorer\
C:\Program Files\Google\
D:\Windows\
D:\Program Files (x86)\Mozila Firefox\
D:\Program Files (x86)\Internet Explorer\
D:\Program Files (x86)\Google\
D:\Program Files\Mozila Firefox\
D:\Program Files\Internet Explorer\
D:\Program Files\Google\

[표 1. 암호화 제외 경로]


[그림 3. 암호화된 파일들]


!!!SAVE_FILES_INFO!!!.txt 파일명으로 랜섬노트를 생성하며, 내용은 아래와 같다. 기존 랜섬웨어와 달리 URL 주소가 아닌 이메일 주소를 통해 제작자와 통신하는 구조이며, 지불비용은 500 달러로 명시되어 있는 것이 특정이다.


[그림 4. 랜섬노트]


현재 안랩은 해당 랜섬웨어를 아래와 같은 진단명으로 진단하고 있다.

- 파일 진단 : Trojan/Win32.Savefiles.C2701916 (2018.09.10.03)

- 행위 진단 : Malware/MDP.Ransom.M1171


Posted by 분석팀