ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다.
해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다.
- 프로세스 종료 및 서비스 종료 목록
| 프로세스 종료 대상 | wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe onenotem.exe QBW32.exe QBDBMgr.exe qbupdate.xe QBCFMonitorService.exe axlbridge.exe QBIDPService.exe httpd.exe fdlauncher.exe MsDtsSrvr.exe sqlwriter.exe fdhost.exe ssms.exe |
| 서비스 종료 대상 | wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe onenotem.exe QBW32.exe QBDBMgr.exe qbupdate.xe QBCFMonitorService.exe axlbridge.exe QBIDPService.exe httpd.exe fdlauncher.exe MsDtsSrvr.exe sqlwriter.exe fdhost.exe ssms.exe |
이후 볼륨 쉐도우 삭제 및 백업 파일을 삭제하기 위해 아래의 명령어를 실행한다. 해당 명령어는 C 드라이브부터 H 드라이브까지 동일하게 실행된다.
- 볼륨 쉐도우 삭제 및 백업 파일 삭제 명령어
| vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB |
| vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded |
| vssadmin.exe Delete Shadows /All /Quiet |
| del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk |
| bcdedit.exe /set {default} recoveryenabled No |
| bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures |
| wbadmin DELETE SYSTEMSTATEBACKUP |
| wmic.exe SHADOWCOPY /nointeractive |
볼륨 쉐도우 및 백업 파일을 삭제 후 휴지통에 저장된 파일까지 모두 삭제하기 위해 SHEmptyRecycleBinW(0, 0, 7) 를 호출한다. 호출시 아래의 인자를 사용하여 사용자 모르게 삭제 행위를 수행한다.
- SHERB_NOCONFIRMATION(0x1) : 개체 삭제를 확인하는 대화 상자가 표시되지 않습니다.
- SHERB_NOPROGRESSUI(0x2) : 진행률을 나타내는 대화 상자가 표시되지 않습니다.
- SHERB_NOSOUND(0x4) : 작업이 완료되면 소리가 나지 않습니다.
또한 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 에 MSFEEditor 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 폴더 및 확장자를 제외하고 파일을 암호화 시킨다.
- 암호화 제외 폴더 및 확장자
| 제외 폴더 | ProgramData, AppData, Windows, Program Files, Application Data, intel, nvidia |
| 제외 확장자 | .exe .dll .sys .ini .lnk .dat .corona-lock |
현재 V3 에서는 해당 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
- Trojan/Win32.MalPe.R337746 (2020.05.22.08)
[행위 진단]
- Malware/MDP.SystemManipulation.M2255
'악성코드 정보' 카테고리의 다른 글
| 악성 한글문서(.hwp) 유포 파일명 변화과정 추적 (1) | 2020.05.27 |
|---|---|
| 부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) (0) | 2020.05.25 |
| Nemty Special Edition 버전 유포중 (복원가능) (0) | 2020.05.20 |
| 코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중 (0) | 2020.05.14 |
| 코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) (2) | 2020.05.11 |
댓글