본문 바로가기
악성코드 정보

.bigbosshorse 랜섬웨어 국내발견 (2019.11.10)

by 분석팀 2019. 11. 12.

안랩 ASEC 분석팀은 랜섬웨어 행위에 대한 모니터링 중 확장자를 .bigbosshorse로 변경하는 랜섬웨어의 국내 감염을 확인하였다. 이 악성코드는 10월 29일에 제작되었으며, 국내에는 11월 10일 첫 피해가 확인되었다. 현재까지 확인된 형태는 두 가지이며, 파일의 등록정보를 보면 아래와 같이 정상 파일로 위장하였다.

  1. avgdiagex.exe (특정 백신 파일로 위장, Language: 1029 (체코어), 해외수집 (좌)
  2. dllhost.exe (윈도우 시스템 파일로 위장, Language: 1033 (영어), 국내 발견 (우)

.bigbosshorse 랜섬웨어 등록정보

두 파일의 제작 시간은 국내 발견 파일이 10월 29일이며, 해외 수집 파일의 경우 11월 2일로 모두 최근에 제작/유포되는 것으로 추정된다.

(위) 해외수집, (아래) 국내발견

해당 랜섬웨어는 감염 전에 사용자 윈도우 설치 언어를 확인하는 코드가 존재하며, 아래와 같다.

사용자 언어를 확인하는 코드

위 코드 상의 언어는 아래와 같이 정리되며 해당 언어 사용자 환경의 경우 랜섬웨어 행위는 발생하지 않고 종료되는 구조이다.

  • 0x419 – 러시안 어
  • 0x43F – 카자흐 어
  • 0x423- 벨로루시 어
  • 0x428 – 타지크 어
  • 0x82C, 0x42C – 아제르바이잔어
  • 0x440 – 키르기스 어
  • 0x444 - 타타르어
  • 0x42B – 아르메니아 어

또 볼륨 쉐도우 삭제 및 복구 모드 OFF 그리고 방화벽을 OFF 시키는 등의 코드가 존재한다. 하지만 이 코드는 'sysnative'라는 경로를 포함하는데 해당 경로는 실제 디렉토리가 아니라 64bit 환경에서 'system32'경로로 리다이렉션 되는 경로이기 때문에 32bit 환경에선 해당 코드가 실행되지 않는다.

'sysnative' 경로를 포함하는 명령어

감염 시 아래와 같이 #Decryption#.txt 이름의 랜섬노트가 각 폴더에 생성되며, 확장자는 .bigbosshorse가 추가된 것을 알 수 있다. 암호화 제외 대상은 폴더 경로에 "Windows"가 포함된 경우와 확장자가 ".testxx"인 경우이며 그 외의 모든 파일들이 암호화 대상이다.

감염된 파일 모습
bigbosshorse 랜섬노트

아직 정확한 유포방식이 확인되지 않은 상황이며, VirusTotal 조회 시 휴리스틱(Heuristic) 진단명 형태로 진단하고 있으며 특정한 이름이 부여되지 않은 랜섬웨어로 추정된다.

- Gen: Heur.Ransom.lmps.1 (BitDefender)
- TR/AD.RansomHeur.jtvyw (AntiVir)
- Win32:Malware-gen (Avast)

안랩 V3 제품에서는 이러한 알려지지 않은 신종 랜섬웨어에 대해 행위기반 엔진을 통해 사전 탐지를 수행하고 있으며, 현재 아래와 같이 대응하고 있다.

[파일 진단]
Malware/Win32.Ransom.R298611 (2019.11.11.07)

[행위 진단]
Malware/MDP.SystemManipulation.M1751
Malware/MDP.Ransom.M1946

 

댓글