분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] CovidWorldCry 랜섬웨어

TACHYON & ISARC 2020. 5. 28. 08:37

CovidWorldCry 랜섬웨어 주의!

 

코로나19 바이러스와 함께 랜섬웨어가 기승을 부리고 있는 중에, CovidWorldCry 랜섬웨어가 등장하였다. 해당 랜섬웨어는 암호화 전 악성 동작에 방해되는 프로세스를 종료하고, 사용중인 모든 드라이브에 대해 감염 동작을 이행하여 해당 랜섬웨어에 감염 시 큰 피해를 초래할 수 있다.

 

이번 보고서에서는 CovidWorldCry 랜섬웨어의 동작에 대해 알아보고자 한다.

 

CovidWorldCry 랜섬웨어는 감염 동작에 방해가 되는 특정 프로세스와 서비스를 종료하고, 특정 디렉토리와 확장자를 제외하고 사용중인 모든 디스크에 대해서 암호화 동작을 수행한다. 그리고 악성 동작 이후 사용자가 PC를 복구하지 못하도록 디스크의 볼륨 복사본을 삭제한다.

 

랜섬노트에는 공격자에게 연락할 Email과 감염된 파일에 대한 정보가 포함되어 있다.

 

[그림 1]  랜섬 노트

 

 암호화 동작 전, 실행 중인 서비스 및 프로세스를 종료한다.

 

[표 1]  종료 대상 프로세스 및 서비스

하기의 명령어와 같이, C에서 H드라이브에 해당되는 볼륨 섀도우 복사본을 삭제하여 복구가 불가능하도록 한다. 또한, 자동 복구 비활성화 설정과 부팅 실패 오류 무시 설정을 하여, 사용자가 감염 사실을 눈치채지 못하도록 한다.

 

[표 2]  명령어

 

하기의 내용와 같이, 특정 디렉토리와 확장자를 제외하고 사용중인 모든 드라이브에 대하여 암호화 동작을 수행한다.

 

[표 3]  암호화 제외 목록

암호화가 된 후, 파일명은파일명.확장자.corona-lock로 변경된다.

 

[그림 2] (좌)  암호화 전 , (우)  암호화 후

 

 이번 보고서에서 알아본 CovidWorldCry 랜섬웨어는 특정 파일을 제외하고 사용중인 모든 드라이브에 대해 암호화하기 때문에 감염된다면 큰 피해가 나타날 수 있다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림 3] TACHYON Endpoint Security 5.0  진단 및 치료 화면