한국어 메시지를 포함한 Maze 랜섬웨어 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

국내에서도 감염자가 발생하였던 Maze 랜섬웨어가 또다시 국내에서 탐지된 정황이 확인되어 사용자들의 각별한 주의가 필요합니다.

[그림 1] Maze 랜섬웨어에 감염된 PC 화면

ESRC에서 발견한 Maze 랜섬웨어 변종들은 현재(2019.08.07)까지 총 63가지이며, 아래 그림과 같이 거의 유사한 아이콘 이미지를 사용 중입니다. 

[그림 2] 유사한 아이콘 이미지를 사용하는 악성 파일 화면

해당 악성 파일은 암호화된 파일의 확장자로 영문랜덤 4-7자리값을 사용하여 주요 파일들을 암호화합니다.

[그림 3] Maze 랜섬웨어에 의해 암호화된 파일들

또한, 각 폴더마다 DECRYPT-FILES.html의 랜섬노트 파일을 생성합니다.

DECRYPT-FILES.html 파일의 경우, 문구 하단에 "!한국어 버전은 아래로 스크롤하십시오!"라는 한국어 메시지가 포함되어 있다는 점이 큰 특징입니다.

[그림 4] Maze 랜섬노트 화면

Maze 랜섬노트 한글 내용

*****************************************************************

주의! 문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!

*****************************************************************

무슨 일 이니?

시스템에 고유 한 개인 키가있는 강력한 신뢰할 수있는 알고리즘 RSA-2048 및 ChaCha20을 사용하여 파일이 암호화되었습니다.

이 암호 시스템에 대한 자세한 내용은 다음을 참조하십시오. https://ko.wikipedia.org/wiki/RSA_%EC%95%94%ED%98%B8

파일을 복구 (암호 해독)하는 유일한 방법은 고유 개인 키로 암호 해독기를 구입하는 것입니다

주의! 우리는 당신의 파일을 복구 할 수 있습니다! 누군가가이 일을 할 수 있다고 말하면 친절하게 그에게 증거 해달라고 부탁하십시오!

우리는 귀하의 파일 중 하나를 해독하여 나머지 데이터를 해독 할 수있는 작업 증명 자료로 무료로 해독 할 수 있습니다.

개인 키를 사거나 테스트 암호 해독을 위해 이메일을 통해 저희에게 연락하십시오 : 메인 전자 메일 : 

1) E-mail: mazedecryptor@p-security.li

2) E-mail: advancedransom@cock.li

두 개의 이메일 주소를 모두 적어주십시오

다른 국가의 법 집행 기관이 항상 몸값 회사에서 사용되는 전자 메일을 압류하려고하자마자 전자 메일 주소를 사용할 수 없을 수도 있으므로 서두르는 것을 잊지 마십시오.

지불 할 의향이 있지만 우리를 잘 모르겠다면 전자 메일 주소를 저장합니다. 나열된 주소가 압수되면 우리는 새 주소에서 귀하를 씁니다.

아래에 큰 base64 얼룩이 보일 것입니다. 이메일을 보내고이 얼룩을 우리에게 복사해야합니다. 클릭하면 클립 보드에 복사됩니다.

복사하는 데 문제가 있으면 현재 읽고있는 파일을 첨부 파일로 보내주십시오.

또한, 분석 중 "Kim Jong Un is my God (김정은은 나의 신)"이라는 문자열도 확인되었습니다.

[그림 5] Kim Jong Un이 언급된 문자열 화면

현재 다양한 변종이 발견되고 있으며, 해당 랜섬웨어류가 추가적인 악성 행위를 일으킬 가능성에 대해 상세 확인 중에 있습니다.

 

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.ChaCha'로 탐지 중입니다.

ESRC에서는 이번에 수집한 샘플에서 아래와 같은 IoC(침해지표) 정보를 확인하였습니다.

HASH

98bfea11e5711f5a69396bd1185c1a19

86bb1ef952e0a233811448c3fcf5fa70

86BB1EF952E0A233811448C3FCF5FA70

2C98B9A9E5FB791BC88417D6F9E855F0

3B5AB65F8D1885BA92FC7C669FCD1C22

4B36495ABC4D7A3F0021674101BB3C23

4C00A45D89DA4CD5FD213C9851D1BE6D

4D7F3AEB92A07B8D0ED96E815D887E97

4F5E57C488F69F59372E680B0D479ACE

6B7A38FE3852A2E5C96C0BF0A439DD24

6B999CA7E50E577E4A4DAA1D5B8F65BF

6C47290D95E13E08E59F3B7514A17F6C

6CC80602D110A817D11620EF396ACDAB

7D810C8D90172ED3F5BEBFE07850A8D1

8D269AF06C1B14D6344A41C0B29E3514

9E75E4F0D67E62F649642F90E2CB255E

32E3398AE8B8C19041E45AF44116FC3C

35F680F6069C56CE4F9E994AD99C09C1

43D948979D26E8886DA6EC8D54901584

63F5247950D2926659EA5E4611DC79A5

83C0BB2EA085B77AB38E64CFE94A9AB3

97A218A78EEC627652B8206ABF58191E

158DDB5D9166B7AC814A52178D26CFC0

171CE9967417FBBF79A2F8A795E43C7C

247E2F7E44028A70C46C8DC6198B2116

257C6A1A8BC28E65AAFDF9E0A77164A7

318B1673499CF3C485455DC11FD20156

447F55B5DF4808C3059128B0A3CC16F8

487F5934D73B722B20C64B9475AF1190

0536D7F99B052CAC157556BF942D1FD6

655FB24C8055B860A1E1019B3CE32931

704DAA69A68E6145EAE726A91407FC52

809FD36B1A07F213FE267EC6C8528090

858BA89BA86FFF32E3C675986341596F

2101F577297627DF5C36A25DA3D2D6B6

3174D22B44CC5FC100EC999E503C958B

57232FA4AB496ADEA8793E4A186C2C27

894178F20DD8BE4845BBAEF0DDDB12FE

6167986DB0B9C898268F7D832851B937

85516845329A9AD72DDBD2B3A16C663A

A43EE2DF5D3334D39F8273B5337B91EE

A465FA50B413E01134B936C301181145

A534DD7060A4F18735B20FA48BDCED64

A54640DAE12C1E91399ACB5E8FBCD0AF

AD5684EE29C4CE9ED778E90D9B5EA62A

AEC0C55BCA2FD4218B21004AC5561B79

B346D2A4E9D0BBF2110D8A80EF541266

B813E0C37D76F8EB110CB03AA3EBA2E6

BF4096ED7923CE188FF734912198DCD6

CCB34922216B7A79CB28F2EB2862BCDD

D7E4006F2A1D4296D4C7830AF0F3537A

D942A65E6032D3915327652C410F8415

DD8FC8E660AEAD7700FCC5954ED6FC86

DE9C02D79C2138282CF0A0800032B643

E66C859197AADB72DB8C50E90C35D952

E453BB12D6ACA15D4EC3E84979B762EC

E89389A37893B5B5B2A310400EA16C6D

F07F711911721E3F55F1C81AE9D017AD

F7EBAA3FC3DBB9DD947A8594E223916D

F37B40581C4995C50F822A8E275C8E72

F7765DEE39D5D5D73EBC238693395581

0CDA52B1CD31494351AAF9EF1673A09F

2BDED504AB6E4D4EE9786A8E8F0E4BEB

URL

http://playfire[.]online/ru53332/AIbbRF2TUwAAtBECAEdUGQASAO99DtAA/download.exe

http://playfire[.]online/ru53332/ainnrf2tuwaatbecaerfgqamacm7y18a/download.exe

https://keepmusic[.]xyz/ru53332/download-RTMD-ainnrf2tuwaatbecaerfgqamacm7y18a.exe

http://atom[.]management/setup2.exe

http://85.192.35[.]189/setup2.exe

IP

209.97.139[.]143