안랩 ASEC에서는 2019년 3월 3일 CLOP랜섬웨어의 감염 확장자가 Clop (CLOP) 에서 CIop (CIOP) 로 변경된 것을 확인하였다.
2월 15일 CLOP 랜섬웨어 : 국내 사용자를 대상으로 한 CLOP랜섬웨어 유포(https://asec.ahnlab.com/1198)
이전과 동일하게 암호화 제외 목록을 갖고 있지만 빨간 박스 부분이 CLOP에서 CIOP로 변경됨을 알 수 있다. 이러한 변화는 암호화 후 변경된 확장자를 기반으로 탐지하는 백신을 우회하기 위한 행위로 추정된다.
[그림 1] 2월 15일자 암호화 제외 파일 (CLOP)
[그림 2] 3월 3일 암호화 제외 파일 (CIOP)
Clop 랜섬웨어는 서비스로 등록되어 동작하며 실행 된 경로에 HotGIrls 이름을 가진 파일을 만든다. 그리고, clearnetworkdns_11-22-33.bat 파일을 생성하고 실행 후 배치파일은 삭제한다.
[그림 3] clearnetworkdns_11-22-33.bat 로 볼륨쉐도우 삭제
암호화 된 파일은 기존과 다르게 원본파일명 확장자를 .CIop로 변경하고 CIopReadMe.txt를 생성한다. 랜섬노트도 기존과 다르게 변경되었다.
[그림 4] 암호화 후 파일 끝에 CIop^_- 추가
[그림 5] 파일 끝에 key 값 추가
[그림 6] CIopReadMe.txt
V3제품에서는 다음과 같이 진단하고 있다.
- Trojan/Win32.ClopRansom (2019.03.05.00)
'악성코드 정보' 카테고리의 다른 글
| 해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) (0) | 2019.03.07 |
|---|---|
| 닷넷(.NET) 외형으로 유포되는 GandCrab 랜섬웨어 v5.2 (0) | 2019.03.06 |
| 멀버타이징 방식에 의한 매그니베르와 갠드크랩 중복감염 (0) | 2019.02.28 |
| GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (0) | 2019.02.27 |
| [주의] '2차 북미정상회담' 내용의 한글취약점 문서 (0) | 2019.02.21 |
댓글