[Trojan.Ransom.Filecoder] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

2023년 상반기 발견된 "Money Message" 랜섬웨어는 해외 기업을 공격한 것으로 알려져 있습니다.

 

해당 랜섬웨어는 실행시 CMD창을 띄우고 암호화를 진행하지만 암호화 후에는 확장자가 변경되지 않기 때문에 사용자가 바로 인지하기가 어려움이 있으며, Bangladesh Airlines이 속해있는 도메인 정보가 하드코딩되어 들어있습니다.

 

따라서 본 보고서에서는 “Money Message” 랜섬웨어에 대해 상세 분석하고자 합니다.

 

[그림] 생성된 데이터

Money Message 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 해당 악성코드는 자신의 감염 동작을 CMD창에 띄워 사용자에게 알려주고, 하드코딩된 로그인 크리덴셜을 이용하여 네트워크로 연결된 PC에 랜섬웨어를 감염하는 특징이 있습니다.

 

또한 C&C 연결을 하지 않아도 암호화되기 때문에 보안을 위해 폐쇄망을 사용하는 기업들도 랜섬웨어 공격에 더 큰 주의를 기울여야 합니다.

 

따라서 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다.

 

현재 알약에서는 ‘Trojan.Ransom.Filecoder’으로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.