본문 바로가기
악성코드 정보

'CLOP'랜섬웨어 'CIOP'로 이름 변경 (제작자의 농간?)

by 분석팀 2019. 3. 4.

안랩 ASEC에서는 2019년 3월 3일 CLOP랜섬웨어의 감염 확장자가 Clop (CLOP) 에서 CIop (CIOP) 로 변경된 것을 확인하였다.

2월 15일 CLOP 랜섬웨어 : 국내 사용자를 대상으로 한 CLOP랜섬웨어 유포(https://asec.ahnlab.com/1198)


이전과 동일하게 암호화 제외 목록을 갖고 있지만 빨간 박스 부분이 CLOP에서 CIOP로 변경됨을 알 수 있다. 이러한 변화는 암호화 후 변경된 확장자를 기반으로 탐지하는 백신을 우회하기 위한 행위로 추정된다.


[그림 1] 2월 15일자 암호화 제외 파일 (CLOP)


[그림 2] 3월 3일 암호화 제외 파일 (CIOP)


Clop 랜섬웨어는 서비스로 등록되어 동작하며 실행 된 경로에 HotGIrls 이름을 가진 파일을 만든다. 그리고, clearnetworkdns_11-22-33.bat 파일을 생성하고 실행 후 배치파일은 삭제한다.

[그림 3] clearnetworkdns_11-22-33.bat 로 볼륨쉐도우 삭제


암호화 된 파일은 기존과 다르게 원본파일명 확장자를 .CIop로 변경하고 CIopReadMe.txt를 생성한다. 랜섬노트도 기존과 다르게 변경되었다.

[그림 4] 암호화 후 파일 끝에 CIop^_- 추가

[그림 5] 파일 끝에 key 값 추가


[그림 6] CIopReadMe.txt


V3제품에서는 다음과 같이 진단하고 있다.

- Trojan/Win32.ClopRansom (2019.03.05.00)

댓글