새로운 CryptoShield 랜섬웨어, ElTest 캠페인을 통해 배포

새로운 CryptoShield 랜섬웨어, ElTest 캠페인을 통해 배포

A new CryptoShield Ransomware being distributed via EITest campaign

보안 연구원 Kafeine이 새로운 변종 랜섬웨어인 CryptoShield 1.0을 발견했습니다. 이는 RIG 익스플로잇 키트를 통해 ElTest 캠페인으로 배포되고 있는 CryptoMix, CrypMix의 변종 랜섬웨어입니다.

사이버 범죄자들은 CryptoShield 랜섬웨어를 배포하기 위해 웹사이트들을 해킹했습니다. ElTest는 사이트에 주입되는 자바스크립트 악성코드로, 피해자가 사이트에 방문했을 때 실행됩니다.

 

<이미지 출처 : http://securityaffairs.co/wordpress/55878/malware/cryptoshield-ransomware.html>

이는 CryptoShield 랜섬웨어를 피해자의 컴퓨터로 전달하기 위해 또다른 웹사이트로부터 익스플로잇 키트를 다운로드하는 특징이 있습니다.

 

Rig 익스플로잇 키트의 트래픽

<이미지 출처 : http://securityaffairs.co/wordpress/55878/malware/cryptoshield-ransomware.html>

이 랜섬웨어가 실행되면 각각의 피해자를 공격하기 위한 고유ID와 암호화 키를 생성해냅니다. 이 고유 ID와 암호화 키는 C&C 서버에 업로드됩니다. 이후 랜섬웨어는 타겟 확장자 파일들을 모두 암호화합니다.

Kafeine는 “CryptoShield는 타겟 파일들을 AES-256으로 암호화할 것이며, 파일명은 ROT-13을 사용해 암호화한다. 그리고 암호화된 파일에 .CRYPTOSHIELD 확장자를 붙인다. 예를 들면, test.jpg 파일이 암호화될 경우 이는 grfg.wct.CRYPTOSHIELD로 변경되며 CryptoShield가 암호화하는 파일의 모든 폴더에는 # RESTORING FILES #.HTML과 # RESTORING FILES #.TXT라는 이름의 랜섬노트가 생성될 것이다.”라고 설명했습니다.

CryptoShield 랜섬웨어는 윈도우 스타트업 복구를 비활성화하고, 윈도우 셰도우 볼륨 복사본들을 삭제합니다. 따라서 백업 파일을 복구하는 것이 불가능합니다.

그는 “이후 CryptoShield는 Explorer.exe에서 에러가 발생했다는 가짜 알림창을 표시할 것이다. 처음에는 이것이 랜섬웨어에서 발생된 에러인지 explorer.exe가 충돌한 것인지 확신할 수 없었다. 이 경고창을 자세히 살펴보면, 'momory'와 같은 오타를 찾을 수 있으며, explorer.exe를 복구하기 위해 Yes 버튼을 누르라는 이상한 문구를 볼 수 있다.”라고 덧붙였습니다.

 

가짜 explorer.exe 경고창

<이미지 출처 : http://securityaffairs.co/wordpress/55878/malware/cryptoshield-ransomware.html>

모든 프로그램과 OS를 최신 버전으로 유지하는 것은 매우 중요합니다. 익스플로잇 키트가 사용자 컴퓨터를 감염시키기 위해 이러한 취약점들을 촉발시키기 때문입니다.

 

현재 알약에서는 CryptoShield 랜섬웨어에 대하여 Trojan.Ransom.CryptoShield로 탐지중에 있습니다.

출처 :

http://securityaffairs.co/wordpress/55878/malware/cryptoshield-ransomware.html