본문 바로가기
악성코드 정보

코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자)

by 분석팀 2020. 5. 22.

 ASEC 분석팀은 522BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다.

 

랜섬노트 (README_LOCK.TXT)

 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다.

 

  • 프로세스 종료 및 서비스 종료 목록
프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe onenotem.exe QBW32.exe QBDBMgr.exe qbupdate.xe QBCFMonitorService.exe axlbridge.exe QBIDPService.exe httpd.exe fdlauncher.exe MsDtsSrvr.exe sqlwriter.exe fdhost.exe ssms.exe
서비스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe onenotem.exe QBW32.exe QBDBMgr.exe qbupdate.xe QBCFMonitorService.exe axlbridge.exe QBIDPService.exe httpd.exe fdlauncher.exe MsDtsSrvr.exe sqlwriter.exe fdhost.exe ssms.exe

 이후 볼륨 쉐도우 삭제 및 백업 파일을 삭제하기 위해 아래의 명령어를 실행한다. 해당 명령어는 C 드라이브부터 H 드라이브까지 동일하게 실행된다.

 

  • 볼륨 쉐도우 삭제 및 백업 파일 삭제 명령어
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
vssadmin.exe Delete Shadows /All /Quiet
del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wmic.exe SHADOWCOPY /nointeractive

 

볼륨 쉐도우 및 백업 파일을 삭제 후 휴지통에 저장된 파일까지 모두 삭제하기 위해 SHEmptyRecycleBinW(0, 0, 7) 를 호출한다. 호출시 아래의 인자를 사용하여 사용자 모르게 삭제 행위를 수행한다.

 

휴지통 파일 삭제

- SHERB_NOCONFIRMATION(0x1) : 개체 삭제를 확인하는 대화 상자가 표시되지 않습니다.

- SHERB_NOPROGRESSUI(0x2) : 진행률을 나타내는 대화 상자가 표시되지 않습니다.

- SHERB_NOSOUND(0x4) : 작업이 완료되면 소리가 나지 않습니다.

 

 또한 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run MSFEEditor 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 폴더 및 확장자를 제외하고 파일을 암호화 시킨다.

 

  • 암호화 제외 폴더 및 확장자
제외 폴더 ProgramData, AppData, Windows, Program Files, Application Data, intel, nvidia
제외 확장자 .exe .dll .sys .ini .lnk .dat .corona-lock

 

감염 후 파일

 

현재 V3 에서는 해당 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

 

[파일 진단]

  • Trojan/Win32.MalPe.R337746 (2020.05.22.08)

 

[행위 진단]

  • Malware/MDP.SystemManipulation.M2255

 

댓글