보안 스캐너를 가장한 랜섬웨어
1. 개요
최근, ‘Windows Security Scanner’를 가장한 랜섬웨어가 등장하였다. 이는 이메일을 통해 유포되었으며, Zip 파일이 첨부되어 압축을 해제하면 실행파일이 있고, 숨김 속성으로 ‘Resource’ 폴더가 나타난다. 해당 실행파일을 실행하면 ‘Resource’ 폴더 내에 숨김 파일들이 실행되며, 스캐너 로딩 이미지를 통해 정상 파일처럼 보이도록 하지만 악성 동작을 수행한다.
사용자 PC의 보안을 경고하여 사용자가 이에 속아 직접 실행하도록 하기에 주의가 요구된다.
2. 분석 정보
2-1. 파일 정보
2-2. 유포 경로
이메일을 통해 유포되며, Microsoft 사의 공식 메일을 모방한다.
2-3. 실행 과정
스팸 메일에 첨부된 파일은 Zip 형태로, 압축 해제하면 랜섬웨어인 “Windows Security Scanner.exe” 실행 파일과 숨김 속성의 ‘Resource’ 폴더가 나타난다. 해당 폴더에는 “Windows Security Scanner.exe” 에 필요한 파일들이 존재하며, 정상적인 스캐너가 동작하는 듯한 이미지를 보여주고 백그라운드 형태로 악성 동작을 수행한다. 이후 모든 동작이 완료되면 랜섬노트를 사용자에게 보여주어 감염사실을 알린다.
3. 악성 동작
3-1. 악성 파일에 사용되는 숨김 폴더 내 파일 목록
“Windows Security Scanner”로 가장한 해당 악성코드는 실행 시 같은 경로 내에 숨김 속성으로 되어 있는 ‘Resource’ 폴더 내 파일들을 사용한다.
“32BitRun.exe” 는 ‘%Documents%’ 아래 ‘Test_Folder’ 를 생성하여 파일을 복사한다.
“ShortCutVBS.exe” 는 ‘%Documents%’ 경로 ‘Test_Folder’ 에 랜섬웨어 바로가기 링크 생성 시도하지만 경로에 차이가 있어 실패한다.
“SecurityUpdater.exe.exe” 는 “Windows Security Installer.exe” 실행을 시도하나 해당 경로에 파일이 존재하지 않아 실패한다.
3-2. 파일 데이터 삭제 및 변화
하기의 [표 2] 와 같이 사용자가 주로 사용하는 디렉토리와 파일을 대상으로 데이터를 변경한다.
파일이 감염되면 ‘파일명.Lost_Files_Encrypt’ 으로 파일명이 변경된다.
파일을 암호화하지 않고 데이터를 삭제하거나 변화하여, 파일을 복구하기는 불가능하다.
3-3. 랜섬노트
변경 대상이 되는 파일들을 모두 변경한 뒤, UI형식의 랜섬노트 뿐만 아니라 ‘%Desktop%’ 경로에 “Ransomware Lost Files Message.txt” 파일명으로 랜섬노트를 생성한다.
4. 결론
이번 보고서에서 알아 본 랜섬웨어는 “Windows Security Scanner” 를 가장한 랜섬웨어로 암호화를 실행하지 않고 파일 데이터를 파괴하므로 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[랜섬웨어 분석] MedusaLocker 랜섬웨어 분석 (0) | 2019.10.31 |
---|---|
[랜섬웨어 분석] Mike 랜섬웨어 분석 (0) | 2019.10.31 |
[랜섬웨어 분석] PyCrypter 랜섬웨어 분석 (0) | 2019.10.08 |
[랜섬웨어 분석] Ordinypt 랜섬웨어 분석 보고서 (0) | 2019.09.27 |
[랜섬웨어 분석] TFlower 랜섬웨어 분석 보고서 (0) | 2019.09.25 |