본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

‘추석’ 키워드로 유포중인 랜섬웨어 주의!

보안공지 2021-09-24



민족 최대 명절인 추석을 앞두고, 추석을 키워드로 한 랜섬웨어가 유포 중에 있어 사용자들의 각별한 주의가 요구됩니다. 

이번에 발견된 랜섬웨어는 '추석_이벤트_당첨'이라는 파일명으로 유포 중에 있습니다. 배포 방식은 아직 확인되지 않았으나 피싱 메일을 통한 유포로 추정되고 있습니다. 

'추석_이벤트_당첨.zip' 파일 내에는 2개의 .pdf 파일을 위장한 실행파일(.exe)이 포함되어 있습니다. 

 

[그림 1] 추석 키워드로 유포 중인 랜섬웨어


압축파일 내 2개의 파일이 포함되어 있지만, 실제로는 동일한 파일입니다.

 

만일 사용자가 해당 파일들을 실제 .pdf 파일로 오인하여 실행한다면, Penta 랜섬웨어가 실행되게 됩니다. 


악성코드 분석

 

Penta 랜섬웨어가 실행되면 다음과 같은 순서로 악성행위를 합니다. 

 

 

1. 중복 실행 확인
현재 실행되고 있는 프로세스 확인을 통하여 중복실행을 방지합니다. 

 

[그림 2] 중복 실행 확인 코드



2. 자가 복제 및 시작 프로그램 등록

%appdata% 경로에 ‘hi.exe’ 파일명으로 자가복제하며, 시작 프로그램 폴더 내 바로가기 아이콘을 추가하여 PC 실행 시 자동으로 실행되도록 합니다. 

 

 

[그림 3] 자가 복제 및 시작 프로그램 등록 코드



3. 복구 무력화

커맨드 명령을 통하여 볼륨섀도 복사본 및 백업카탈로그 삭제 등 행위를 하여 사용자가 복구를 할 수 없도록 합니다. 

 

vssadmin delete shadows /all /quiet & wmic shadowcopy delete
볼륨 섀도우 복사본 삭제
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
윈도우 오류 복구 알림 비활성화,
윈도우 복구 모드 비활성화
wbadmin delete catalog -quiet
백업 카탈로그 삭제



4. 파일 암호화

그 후 파일 암호화를 진행합니다. 

 

[그림 4] 암호화 루틴 일부 코드

 

 

[그림 5] 파일 암호화 코드



암호화 대상 확장자 및 폴더는 다음과 같습니다. 

암호화 확장자 목록

.jpg, .png, .jpeg, .bmp, .raw, .gif, .mp3, .mp4, .mov, .avi, .m4a, .hwp, ppt, .pptx, .doc, .docx, .xls, .xlsx, .zip, .rar, .egg, .url, .7z

 


암호화 폴더 목록

Desktop, Links, Contacts, Documents, Downloads, Pictures, Music, OneDrive, Saved Games, Favorites, Searches, Videos, %appdata%

 

 

파일 암호화 후 확장자를 [기존 파일명.확장자].PENTA로 변경하며, ‘PENTA_README.txt’ 파일명을 가진 랜섬노트를 띄웁니다. 

랜섬노트에는 파일 복호화를 위해 pentros30@protonmail.com 이메일로 연락하라는 내용이 포함되어 있습니다.


[그림 6] 랜섬웨어가 띄우는 랜섬노트


[그림 7] 랜섬웨어가 암호화 후 바꾸는 PC 배경화면

 


긴 추석 연휴만큼 추석기간 동안 다양한 사이버 위협이 지속될 것으로 예상됩니다.

 
사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신된 이메일의 클릭을 지양해 주시고, 만약 이메일 확인 후 첨부파일을 실행해야 한다면 반드시 파일 확장자를 확인하시는 습관을 길러야 하겠습니다. 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지중이며, 알약 행위기반 사전차단 기능에서도 정상적으로 차단중 입니다.