안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다.
암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다.
암호화가 끝나면 바탕화면을 변경하여 RSA-2048 과 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다.
또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다.
암호화에서 제외되는 폴더는 다음과 같다.
- \Windows\
- \Program Files\
- \Games\
- \Tor Browser\
- \ProgramData\
- \cache2\entries\
- \Low\Content.IE5\
- \User Data\Default\Cache\
- \All Users\
- \AhnLab\
암호화에서 제외되는 파일은 다음과 같다.
- autorun.inf
- boot.ini
- desktop.ini
- ntuser.dat
- iconcache.db
- bootsect.bak
- ntuser.dat.log
- thumbs.db
- Bootfont.bin
사용자 정보를 전송하기 위해 사용하는 확인된 C&C 는 아래와 같다.
- 92.63.32.2
- 92.63.8.47
- 92.63.37.100
- 92.63.194.20
- 92.63.17.245
- 92.63.32.55
- 92.63.11.151
- 92.63.194.3
- 92.63.15.8
- 92.63.29.137
- 92.63.32.57
- 92.63.15.56
안랩 V3 제품군에서는 아래와 같이 진단하며, 해당 랜섬웨어는 취약점을 통해 유포 중인 만큼 인터넷 익스플로러와 Adobe Flash Player 를 최신으로 유지할 필요가 있다.
[파일진단]
Trojan/Win32.RansomCrypt (2019.05.28.06)
[행위진단]
Malware/MDP.Ransom.M1171
[취약점 패치]
1. 인터넷 익스플로러 최신 다운로드 페이지
https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads
2. Adobe Flash Player 최신 다운로드 페이지 (CVE-2018-15982)
https://get.adobe.com/flashplayer/
'악성코드 정보' 카테고리의 다른 글
[주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) (0) | 2019.05.30 |
---|---|
[주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포 (0) | 2019.05.29 |
V3Lite 사용여부에 따라 차별화된 실행방식 사용하는 BlueCrab(갠드크랩 후속) (0) | 2019.05.17 |
국내 사용자 대상 신종 랜섬웨어 확인 (.kname 확장자) (0) | 2019.05.14 |
스팸메일을 악용한 Crypter 계열 악성코드의 유포 및 동작 방식 (0) | 2019.05.02 |
댓글