악명높은 Cerber를 가장한 FuxSocy 랜섬웨어 발견

New FuxSocy Ransomware Impersonates the Notorious Cerber

현재는 활동을 중단했지만 악명 높았던 Cerber 랜섬웨어와 매우 유사하게 행동하는 새로운 랜섬웨어인 FuxSocy가 발견되었습니다.

MalwareHunterTeam이 발견한 이 랜섬웨어는 Mr. Robot TV 시리즈의 FSociety 해킹 그룹에서 따온 이름인 ‘FuxSocy Encryptor’를 사용하고 있었습니다.

다른 랜섬웨어처럼, FuxSocy 또한 사용자의 파일을 암호화한 후 복호화 툴을 주는 대가로 랜섬 머니를 요구합니다.

이 랜섬웨어의 흥미로운 점은 외부를 Cerber 랜섬웨어와 매우 유사하게 디자인했다는 것입니다. 또한 해당 랜섬웨어의 내부 중 일부분도 차용하였습니다.

Cerber와의 유사점

역설계 연구원인 Vitali Kremez는 이 랜섬웨어를 분석하던 중 내부 중 일부분이 Cerber 랜섬웨어가 사용한 것과 유사하다는 것을 깨달았습니다.

예를 들면, FuxSocy는 파일을 암호화할 때 특정 문자열을 포함하는 파일을 건너 뜁니다. 이 중 많은 문자열을 Cerber에서 직접 따왔습니다. 

FuxSocy는 Cerber의 예외 리스트를 그대로 따온 후 일부분을 추가했습니다.

이 랜섬웨어가 우회하는 폴더 전체는 아래와 같습니다:

*:\$getcurrent\*

*:\$recycle.bin\*

*:\$windows.~bt\*

*:\$windows.~ws\*

*:\boot\*

*:\documents and settings\all users\*

*:\documents and settings\default user\*

*:\documents and settings\localservice\*

*:\documents and settings\networkservice\*

*:\intel\*

*:\msocache\*

*:\perflogs\*

*:\program files (x86)\*

*:\program files\*

*:\programdata\*

*:\recovery\*

*:\recycled\*

*:\recycler\*

*:\system volume information\*

*:\temp\*

*:\tmp\*

*:\windows.old\*

*:\windows10upgrade\*

*:\windows\*

*:\winnt\*

*:\.*\*

*\appdata\local\*

*\appdata\locallow\*

*\appdata\roaming\*

*\local settings\*

*\public\music\sample music\*

*\public\pictures\sample pictures\*

*\public\videos\sample videos\*

*\tor browser\*

.txt

.jpg

bitcoin

excel

microsoft sql server

microsoft\excel

microsoft\microsoft sql server

microsoft\office

microsoft\onenote

microsoft\outlook

microsoft\powerpoint

microsoft\word

office

onenote

outlook

powerpoint

steam

the bat!

thunderbird

word

autodesk

solidworks*

OpenSCAD

FuxSocy는 Cerber와 유사한 방식을 통해 파일명과 확장자를 스크램블합니다.

<FuxSocy 파일로 암호화된 파일들>

컴퓨터를 암호화한 후, FuxSocy는 윈도우 데스크탑 배경 화면을 Cerber가 사용하던 배경화면과 거의 동일한 것으로 변경합니다.

<FuxSocy 데스크탑 배경화면>

FuxSocy과 Cerber의 차이점은?

FuxSocy는 Cerber와 매우 유사해 보이지만, 몇 가지 차이점이 있습니다.

FuxSocy는 아래 프로세스, 파일, 네임드 파이프를 찾아 가상 머신에서 랜섬웨어를 실행하는 사용자를 차단하려 시도합니다:

prl_cc.exe

prl_tools.exe

vboxservice.exe

vboxtray.exe

VMSrvc.exe

VMUSrvc.exe

vmtoolsd.exe

vmwaretray.exe

vmwareuser.exe

VGAuthService.exe

vmacthlp.exe

xenservice.exe

qemu-ga.exe

\\.\VBoxMiniRdrDN

\\.\VBoxGuest

\\.\pipe\VBoxMiniRdDN

\\.\VBoxTrayIPC

\\.\pipe\VBoxTrayIPC

\\.\HGFS

\\.\vmci

system32\drivers\VBoxMouse.sys

system32\drivers\VBoxGuest.sys

system32\drivers\VBoxSF.sys

system32\drivers\VBoxVideo.sys

system32\vboxdisp.dll

system32\vboxhook.dll

system32\vboxmrxnp.dll

system32\vboxogl.dll

system32\vboxoglarrayspu.dll

system32\vboxoglcrutil.dll

system32\vboxoglerrorspu.dll

system32\vboxoglfeedbackspu.dll

system32\vboxoglpackspu.dll

system32\vboxoglpassthroughspu.dll

system32\vboxservice.exe

system32\vboxtray.exe

system32\VBoxControl.exe

system32\drivers\vmmouse.sys

system32\drivers\vmhgfs.sys

system32\drivers\vm3dmp.sys

system32\drivers\vmci.sys

system32\drivers\vmmemctl.sys

system32\drivers\vmrawdsk.sys

system32\drivers\vmusbmouse.sys

FuxSocy의 또 다른 특이점은 파일 전체를 암호화하지 않는다는 것입니다.

Michael Gillespie 연구원에 따르면, 이 랜섬웨어는 파일의 0x708 바이트부터 암호화하기 시작해 문서의 대부분을 사용할 수 없도록 만듭니다.

<부분적으로 암호화된 이미지>

그러나 아래와 같이 일부 이미지 파일은 암호화 되지 않은 부분을 확인할 수 있는 상태였습니다.

<손상된 이미지 파일>

Cerber와 FuxSocy는 랜섬노트도 다릅니다. Cerber는 Tor 지불 사이트를 사용하는 반면, FuxSocy는 ToxChat 메시징 앱을 통해 연락할 것을 요구합니다.

<FuxSociety 랜섬 노트>

이 두 랜섬웨어는 흥미로운 유사점과 차이점이 있지만, 결국 실행하는 작업은 동일합니다. 이들은 사용자의 데이터를 암호화하고 인질로 삼아 랜섬머니를 요구합니다.

안타깝게도 이 랜섬웨어로 암호화된 파일을 복호화 할 수 있는 무료 툴은 공개되지 않은 상태입니다. 이 랜섬웨어에 피해를 입었을 경우 돈을 지불하기 보다 파일 백업을 복원할 것을 권장합니다.

현재 알약에서는 해당 악성코드에 대해 'Trojan.Ransom.Filecoder'로 탐지 중에 있습니다. 

※ Cerber 관련글 보러가기

▶ 미 정부 웹사이트에서 Cerber 랜섬웨어를 배포하는 JavaScript 다운로더 호스팅 해 (2017.09.05)

▶ Cerber 랜섬웨어 또 다시 진화해, 비트코인 지갑 탈취 (2017.08.08)

▶ 새로운 Cerber 랜섬웨어 4.0 버전, 온라인에서 판매되고 멀버타이징 방식으로 배포돼 (2016.10.14)

▶ Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가 (2016.08.09)

▶ 말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인 (2016.07.05)

▶ Cerber 랜섬웨어 Dridex 봇넷으로 급증 (2016.05.17)

▶ 러시아 블랙마켓에서 "말할 수 있는" CERBER 랜섬웨어 판매 (2016.03.11)

출처:

https://www.bleepingcomputer.com/news/security/new-fuxsocy-ransomware-impersonates-the-notorious-cerber/