TimeCrypt 랜섬웨어 - 비밀번호 설정된 압축 방식을 사용
TimeCrypt 랜섬웨어는 일반적인 랜섬웨어와는 다르게 DotNetZip 압축 라이브러리를 이용하는 특이점이 있습니다
암호화 대상은 다운로드, 문서, 바탕화면에 존재하는 파일과 하위 폴더를 대상으로 암호화를 진행 합니다
TimeCrypt 랜섬웨어 실행되어 암호화가 진행되는 동안 사용자를 속이기 위해 가짜 윈도우 업데이트 화면을 표시합니다
확장자 변경은 "문서.txt.kcry"로 변경되며 폴더의 경우 "폴더.fld.kcry"로 변경 됩니다
폴더의 경우 암호화된후 압축파일(ZIP) 형태로 저장 되는데, 압축을 풀려고 하면 특정 암호를 입력 해야 합니다
암호화가 왼료된 후에는 결제안내 파일(kcry-info.txt"을 자동 실행을 통해 표시 합니다
Liquid 랜섬웨어는 암호화를 실행하는 파일 위피가 윈도우 기본 폴더인 음악 폴더 인것으로 보아 계정을 해킹하여 원격제어(RDP) 접속으로 시스템에 접속하여 화면을 직접 보면서 작업했을 것으로 보입니다
Liquid 랜섬웨어는 명령 프롬프트 창을 생성하여 "running after 5 seconds, close proccess for cancelling" 메시지를 출력한 후 동작하게 됩니다
또한 윈도우 부팅시마다 자동 실행 하도록 서비스레 추가 증록을 하고 작업스케줄러에 로그를 삭제 하는 logg 배치파일을 등록시켜 10분마다 동작 되도록 하여 사용자가 RDP 접속으로 공격한것을 인지하지 못하도고 하고 있습니다
확장자 변경은 "id[<Random>].[unknownteam@criptext.com].문서.txt.Liquid" 형태로 변경 됩니다
결제 안내 파일은 "Liquid.hta"가 생성되며 암호화된 데이터의 몸값을 지불하지 않으면 Google을 통해 정보를 외부에 노출 하겠다는 협박하고 있습니다
TargetCompany 랜섬웨어 변종-확장자를 .avast로 변경
MS SQL 서버를 대상으로 공격하던 TargetCompany 랜섬웨어에 대한 복호화 툴을 최근 Avast 보안 업체에서 공개 한 적이 있는데 이후 일시적으로 잠잠하던 TargetCompany 랜섬웨어가 새로운 변종으로 다시 활돟하고 있다고 합니다
특히 TargetCompany 랜섬웨어의 복호화 툴을 공개한 Avast 보안업체를 겨냥한 것으로 보이는 Avast Decryptor 이름을 사용하기도 했습니다
확장자 변견은 "문서.txt.avast"로 변경 됩니다
결제 안내 파일은 "RECOVERY INFORMATION.txt" 파일이 각 폴더마다 생성 됩니다
MS SQL 서버를 통한 변종 랜섬웨어의 공격이 계속 될것으로 보이므로 계정 관리는 물론 MS SQL의 SA 기본 계정은 사용하지 않는 것이 좋겠습니다
Cyclops 랜섬웨어 - 국내에서 제작된 게임핵 크랙 파일로 위장
Cyclops 랜섬웨어는 마인크래프트(Minecraft) 게임핵으로 알려진 Vape 크랙 파일명으로 유포된 것으로 보입니다
파일이 실행 되면 VAPE v4 이미지를 외부 서버로부터 다운로드하여 표시하며, 사용자가 해당 창을 종료할 경우 아래와 갗은 추가적인 오류 메세지 창이 생성 됩니다
확인 버튼을 클릭하는 시점부터 파일 암호화가 진행 됩니다
C드라이브의 특정 폴더에 위치한 파일의 특정 확장자인 .ahk, .avi, .c, .cpp, .cs, .dat, .dll, .doc, .exe, .gif, .html, .hwp, .Ink, .jar, .java, .jpg, .js, .json, .mp4, .pdf, .png, .rar, .tff, .txt, .xlsx, .xml, .yml, .zip 의 파일을 암호화 합니다
확장자 변경은 "문서.txt.Cyclops"로 변경 됩니다
파일 암호화가 완료 되면 아래 같은 메세지가 출력 되면서 몸값 요구가 아닌 5번의 기회가 주어지는 룰렛 게임을 하도록 안내 합니다
5번의 게임중 같은 숫자 3개가 나오면 복호화 키가 제공되고 5번의 기회를 모두 실패하면 랜섬웨어는 종료되고 다시 실행할 경우 다시 암호화가 진행되고 다시 5번의 기회가 주어집니다
Sodinokibi 랜섬웨어 - MSE(Microsoft Security Essentials)를 악용한 악성코드
Sodinokibi 랜섬웨어는 Kaseya VSA라는 원격 모니터링과 소프트웨어 패치 및 취약점 관리 솔루션을 제공하는 솔루션 업데이트 기능을 통해 대규모 공격이 이루어 졌습니다
이에 따라 KISA 인터넷 보호나라레서 보안 공지를 통해 Kaseya VSA 솔루션을 이용하는 국내 기업체에게도 사용중단 권고를 하였습니다
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36122
업데이트 기능을 통해 "Kaseya VSA Agent Hot-fix"라는 이름으로 핫픽스 파일이 다운로드되어 Windows PowerShell 명령어를 통한 Windows Defender 백신 무력화 기능이 함께 진행 된것으로 보입니다
MSE 백신은 MsMpEng.exe 파일 실행을 통해 동일 폴더 내에 존재하는 MpSvc.dll 모듈을 로딩하여 기능을 수행하게 되는데, 정상적인 MsMpEng.exe 파일을 통해 함께 위치한 악성 mpsvc.dll 모듈을 실행하도록 악용한 것입니다.
악성 mpsvc.dll 모듈이 실행되면 Windows 방화벽의 네트워크 검색(Network Discovery) 규칙을 활성화하여 감염이 발생한 장치와 연결된 다른 공유 폴더에 접근할 수 있게 합니다
또한, 시스템 복원지점이 생성되어 있을 경우 복원지점을 삭제하여 복원을 할 수 없도록 처리합니다
확장자 변경은 "문서.txt.<5~10자리 숫자+영문 소문자 Random>" 형태로 변경 됩니다
결제 안내 파일은 "<암호화 확장명>-readme.txt" 파일이 각 폴더마다 생성 됩니다
파일 암호화가 완료 되면 bmp 그림 파일을 생성하여 바탕화면 배경 이미지로 변경하여 파일이 암호화 되었음을 알려 줍니다
그리고, 윈도우가 설치된 파티션이 MBR 방식일 경우 부팅에 필요한 파일까지 암호화되어 재부팅 할 경우 OS를 찾을 수 없다는 메세지와 함깨 부팅에 실패 합니다