.TRO 변종으로 돌아온 Djvu 랜섬웨어, 크랙 & 애드웨어 번들 통해 배포 돼

Djvu Ransomware Spreading New .TRO Variant Through Cracks & Adware Bundles

2018년 12월, Djvu라는 새로운 랜섬웨어가 발견 되었습니다. 이 랜섬웨어는 STOP의 변종일 가능성이 있었으며, 크랙 다운로드 및 애드웨어 번들을 통해 크게 홍보 되었습니다. 이 랜섬웨어는 암호화한 파일의 뒤에 .djvu 확장자를 붙였지만 최근 발견 된 변종은 .tro 확장자를 사용했습니다.

이 랜섬웨어가 처음 발견 되었을 때는 어떻게 배포 되는지 알 수 없었으며, 메인 인스톨러의 샘플도 찾을 수 없었습니다. 피해자들의 의견을 종합해본 결과, 대부분 소프트웨어 크랙을 다운로드한 후 감염 되었다고 밝혔습니다.

수 많은 피해자들이 파일을 ID-Ransomware에 제보해, 이 캠페인은 매우 성공적인 것으로 추측 됩니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/>

불행히도 현재는 피해자들의 파일을 무료로 복호화할 수 있는 방법이 없지만, 연구원들이 랜섬웨어를 분석하고 있기 때문에 곧 복호화 툴이 개발되기를 기대합니다.

Djvu 랜섬웨어가 컴퓨터를 암호화하는 방법

특정 크랙 및 애드웨어 번들이 피해자의 컴퓨터에 이 랜섬웨어를 설치하고 있는 것으로 나타났습니다. 이 크랙이 설치 되면, 메인 인스톨러가 %LocalAppData%\[guid]\[random].exe로 설치 되며 실행 됩니다. 이 프로그램은 메인 랜섬웨어 컴포넌트이며, 동일 폴더에 아래 파일들을 다운로드 합니다:

%LocalAppData%\[guid]\1.exe

%LocalAppData%\[guid]\2.exe

%LocalAppData%\[guid]\3.exe

%LocalAppData%\[guid]\updatewin.exe

실행 되면, 1.exe는 윈도우 디펜더에 대한 정의를 제거하고 많은 기능을 비활성화 하는 다양한 명령어들을 실행할 것입니다. 또한 이 실행 파일은 아래 명령어를 사용하여 윈도우 디펜더의 실시간 모니터링을 비활성화 하는 PowerShell 스크립트인 Script.ps1를 실행할 것입니다.

Set-MpPreference -DisableRealtimeMonitoring $true

그 후, 이 랜섬웨어는 수 많은 보안 사이트 및 다운로드 사이트들을 윈도우 HOSTS 파일에 추가하는 2.exe를 실행해 피해자들이 도움을 얻기 위해 이 사이트들에 접근할 수 없도록 합니다.

<HOSTS 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/>

이후 3.exe 파일이 실행 되는데, 이 파일의 샘플을 찾을 수 없어 정확히 어떤 역할을 하는지는 알 수 없었습니다.

이 과정에서 랜섬웨어는 기기를 위한 고유 ID를 생성합니다. 연구원에 따르면, 이 고유 ID는 시스템 맥 어드레스의 MD5이며, 이후 C&C 서버인 http://morgem[.]ru/test/get.php?pid=[machine_id에 연결합니다. 그리고 서버는 피해자의 파일을 암호화하는데 사용 될 암호화 키와 함께 응답을 보냅니다.

사용자가 sflow, netflow를 사용하거나 네트워크를 스니핑 중이라면 C&C 서버가 컴퓨터로 암호화 키를 보낼 때 이를 복구해내는 것이 가능할 수 있습니다.

이제 이 랜섬웨어는 컴퓨터에서 파일을 암호화 하기 시작하고, 동시에 updatewin.exe를 실행합니다.

Updatewin.exe는 파일이 암호화 되는 동안 가짜 윈도우 업데이트 화면을 표시해 디스크 활동이 증가한 것이 사용자에게 정상적으로 보이게끔 속입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/>

이 랜섬웨어의 이전 버전은 암호화 한 파일에 .djvu 확장자를 추가했으나, 최신 버전은 아래와 같이 .tro 확장자를 추가합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/>

그리고 _openme.txt라는 이름의 랜섬노트를 암호화한 각 폴더에 드랍합니다. 이 노트에는 피해자의 파일에 어떤 일이 발생했는지, 지불 방법을 받기 위해서 연락해야 하는 이메일 주소 2개가 포함 되어 있습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/>

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Stop로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-cracks-and-adware-bundles/