본문 바로가기
악성코드 정보

'AhnLab' 폴더를 암호화에서 제외하는 Maze 랜섬웨어

by AhnLab ASEC 분석팀 2019. 5. 29.

안랩 ASEC은 지난 524일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다.

 

암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다.

 

[ 그림 -1]  암호화 후 변경된 확장자
[ 그림 -2] DECRYPT-FILES.html  내용

  

암호화가 끝나면 바탕화면을 변경하여 RSA-2048 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다.

 

[ 그림 -3]  감염바탕화면

 

또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다.  

 

[ 그림 -4] AhnLab  폴더 제외 코드

 

암호화에서 제외되는 폴더는 다음과 같다.

  • \Windows\
  • \Program Files\
  • \Games\
  • \Tor Browser\
  • \ProgramData\
  • \cache2\entries\
  • \Low\Content.IE5\
  • \User Data\Default\Cache\
  • \All Users\
  • \AhnLab\

암호화에서 제외되는 파일은 다음과 같다.

  • autorun.inf
  • boot.ini
  • desktop.ini
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • ntuser.dat.log
  • thumbs.db
  • Bootfont.bin

사용자 정보를 전송하기 위해 사용하는 확인된 C&C 는 아래와 같다.

  • 92.63.32.2
  • 92.63.8.47
  • 92.63.37.100
  • 92.63.194.20
  • 92.63.17.245
  • 92.63.32.55
  • 92.63.11.151
  • 92.63.194.3
  • 92.63.15.8
  • 92.63.29.137
  • 92.63.32.57
  • 92.63.15.56

안랩 V3 제품군에서는 아래와 같이 진단하며, 해당 랜섬웨어는 취약점을 통해 유포 중인 만큼 인터넷 익스플로러와 Adobe Flash Player 최신으로 유지할 필요가 있다.

 

[파일진단]

Trojan/Win32.RansomCrypt (2019.05.28.06)

 

[행위진단]

Malware/MDP.Ransom.M1171

랜섬웨어 행위에 대한 탐지화면

 

[취약점 패치]

1. 인터넷 익스플로러 최신 다운로드 페이지

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

 

2. Adobe Flash Player 최신 다운로드 페이지 (CVE-2018-15982)

https://get.adobe.com/flashplayer/ 

 

댓글0