랜섬웨어 분석 정보

[랜섬웨어 분석] MegaCortex 랜섬웨어 분석

MegaCortex Ransomware감염 주의

 

 

1. 개요

“MegaCortex”로 불리며 기업을 주요 대상으로 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치 파일(.cmd)을 사용하여 프로세스 및 서비스 종료, 볼륨 섀도우 복사본 삭제 및 등의 행위를 한다. “MegaCortex”에 감염되면 파일이 암호화 되며 랜섬노트를 통해 금액 협상을 요구하므로 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다.
이번 보고서에서는 “MegaCortex” 랜섬웨어의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

 “MegaCortex” 랜섬웨어가 실행되면 TEMP 경로에 배치 파일과 DLL을 생성한 후, 실행하여 악성 행위를 한다. 이 과정에서 사용자의 암호를 변경하고 윈도우 로그인 창에서 경고 메시지를 띄우도록 설정한다. 그 다음 복구를 무력화하기 위해 wmic를 사용하여 볼륨 섀도우 복사본을 삭제하고, “MegaCortex”실행에 방해가 되는 프로세스나 서비스를 종료한다. 암호화가 완료된 파일은 .m3g4c0rtx라는 확장자가 붙으며, “!-!_README_!-!.rtf”란 이름의 랜섬노트를 바탕화면에 생성하여 금액에 대한 협상을 요구한다. 
랜섬 노트를 보면 주요 공격 대상이 회사라는 것을 추측할 수 있으며, 적혀진 메일로 테스트 파일을 보내야만 추가 지침을 준다고 한다. 
 

[그림 1] 랜섬 노트 



 

3. 악성 동작

3-1. 배치 파일 및 DLL 파일 생성

MegaCortex가 실행되면 3개의 배치 파일(.cmd)과 2개의 dll 파일을 생성하여 파일 암호화, 로그인 경고 메시지 작성, 복구 무력화 등의 행위를 수행한다.
 

[그림 2] 배치 파일 및 DLL 파일 생성 결과



 

3-2. 윈도우 로그인 경고 메시지 작성

배치 파일이 실행되면 legalnoticecaption과 legalnoticetext 레지스트리를 추가하여 윈도우 로그인 경고 메시지를 나타낸다.
 

[그림 3] 윈도우 로그인 경고 메시지 추가 레지스트리 



 

레지스트리가 추가 된 후, 사용자가 다시 로그인을 하려하면 [그림 4]와 같이 MegaCortex에 의해 잠금 됐다고 경고한다.
 

[그림 4] 윈도우 로그인 경고 메시지 작성




 

3-3. 복구 무력화

그 다음, 정상적인 복구를 불가능하게 하기 위해서 “wmic.exe”를 실행하여 볼륨 섀도우 복사본을 삭제한다.
 

[그림 5] 복구 무력화

 

배치 파일 실행 중 wmic를 사용하여 볼륨 섀도우 복사본을 삭제한 결과이다. 
 

[그림 6] 복구 무력화 실행 결과




 

3-4. 프로세스 및 서비스 종료

“MegaCortex”는 파일 암호화를 하기 전에 프로세스와 서비스를 종료한다. 
프로세스 종료 대상은 1118개이며, 종료 대상 중에서 종료되는 백신은 AVG, Avira, BitDefender, BullGuard, v3, McAfee, Dr.WEB, Sophos, Symantec이다.

[표 1] 프로세스 종료 대상



 

서비스 종료 대상은 286개로 주로 프로세스에서 종료되는 백신 관련 서비스가 포함되어 있다.

[표 2] 서비스 종료 대상



 

3-5. 파일 암호화

현재까지 확인된 암호화 제외 대상은 [표 3]의 목록과 같으며, 이를 제외한 파일은 암호화를 하는 것으로 확인된다.

[표 3] 암호화 제외 대상

 

암호화가 완료되면 기존의 확장자 뒤에 .m3g4c0rtx 확장자를 추가한다.
 

 

[그림 7] MegaCortex 랜섬웨어 실행 결과




 

4. 결론

이번 보고서에서 알아본 “MegaCortex” 랜섬웨어에 감염되면 볼륨 섀도우 복사본이 삭제되어 복구가 불가능하며, 암호화 알고리즘 및 요구하는 금액이 얼마인지 확인되지 않아 각별한 주의가 필요하다. 
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 별도로 백업해 보관할 것을 권고한다. 또한, 불분명한 링크나 첨부파일을 함부로 열지 않도록 해야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면



 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.


[그림 9] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능




댓글

댓글쓰기