상세 컨텐츠

본문 제목

'Corona Ransomware'로 제품명을 변경한 Hakbit 랜섬웨어

악성코드 분석 리포트

by 알약(Alyac) 2020. 3. 4. 07:30

본문



안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

최근 코로나 19 바이러스 감염증 확진자 수치가 계속 증가하고 있고, 대중들의 관심과 공포가 집중되고 있는 상황에서 코로나(Corona) 바이러스 이슈를 노리고 'Corona Ransomware'(이하 코로나 랜섬웨어) 라는 명칭을 사용하는 랜섬웨어가 등장하여 주의가 필요합니다.

 

해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019 11월 경에 유포된 바 있는 Hakbit 랜섬웨어의 변종으로 추정됩니다.

 

실제로 이번에 발견된 코로나 랜섬웨어는 Hakbit 랜섬웨어와 동작방식에서 여러모로 유사한 부분이 확인됩니다또한 랜섬노트의 경우, 이번 코로나 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯하여 요구하는 금액과 안내하는 비트코인 지불 사이트, 랜섬노트 내용 등에서 코로나 랜섬웨어가 Hakbit 랜섬웨어의 변종이라고 추정하고 있습니다.

 

이번 Corona 랜섬웨어에 감염될 경우 사용자에게 보여주는 랜섬노트의 내용에는 피해자가 공격자에게 돈을 지불하면 제공 받을 수 있는 decoder ‘Corona decryption’이라고 명명하고 있으며 랜섬노트 최하단에는 'Corona ransomware'라는 이름을 적시하고 있음을 확인할 수 있습니다.



[그림 1] 코로나 랜섬웨어 랜섬노트 화면

 


다음은 코로나 랜섬웨어 랜섬노트의 전문 텍스트입니다.


* 코로나 랜섬웨어 랜섬노트 전문



1 - What Happened to My Computer ?


Your business is at serious risk.

There is a significant hole in the security system of your company.

We've easily penetrated your network and now all your files, documents, photos, databases, ...are safely

encrypted with the strongest millitary algorithms RSA4096 and AES-256.


No one can help you to restore files without our special decoder (corona decryption).

We have also uploaded a lot of files from your network on our secure server, so if you refuse to pay the ransom, those files will be published or solded to competitors



2 - Can I Recover My Files ?


Sure, we guarantee that you can recover all your files safely.


If you want to restore your files write to recoba90@protonmail.com and attach 2 encrypted files (Less than 3MB each) and we will decrypt them.

Please don't forget to precise the name of your compagny and your unique identifier key in the e-mail.


But if you want to decrypt all your files, you need to pay.

You only have 5 days from this moment to submit the payment. After that  all your files will be lost definitely.


 

3 - How Do I Pay ?


Payment is accepted in bitcoin only. You can buy bitcoins from :

-https://www.coinbase.com

-https://localbitcoins.com


The final price of decryption is 300$ .


First : Send 300$ worth of bitcoin

Second: send an e-mail to recoba90@protonmail.com and don't forget to precise the name of you compagny, your wallet ID and your 


unique identifier key.After that, we will send you our corona decryption tool to restore all your files.


!!!!Be warned, we won't be able to recover your files if your start fiddling with them.!!!!


Corona ransomware

No System Is Safe


Bitcoin wallet to make the transfer to is:

32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md

Unique Identifier Key (must be sent to us together with proof of payment):




이번 코로나 랜섬웨어는 이전 랜섬웨어들과 마찬가지로 감염자의 파일을 암호화 하여 이를 볼모로 금전을 요구합니다이번 랜섬웨어는 2020 1 30일경 제작된 것으로 확인되며, 피해자에게 암호화한 파일에 대한 복구를 위해 300$가치의 비트코인 암호화폐 지불을 요구합니다.

 

대상 파일을 암호화하는 코드는 아래 화면과 같습니다. (AES256)



[그림 2] 파일 암호화 코드

 


암호화 대상 확장자, 경로, 제외 경로는 아래와 같습니다.


*암호화 대상 확장자


"txt", "jpeg", "gif", "jpg", "png", "php", "cs", "cpp", "rar", "zip", "html", "htm", "xlsx", "avi", "mp4", "ppt", "doc", "docx", "xlsx", "sxi", "sxw", "odt", "hwp", "zip", "rar", "tar", "bz2", "mp4", "mkv", "eml", "msg", "ost", "pst", "edb", "sql", "accdb", "mdb", "dbf", "odb", "myd", "php", "java", "cpp", "pas", "asm", "key", "pfx", "pem", "p12", "csr", "gpg", "aes", "vsd", "odg", "raw", "nef", "svg", "psd", "vmx", "vmdk", "vdi", "lay6", "sqlite3", "sqlitedb", "accdb", "java", "class", "mpeg", "djvu", "tiff", "backup", "pdf", "cert", "docm", "xlsm", "dwg", "bak", "qbw", "nd", "tlg", "lgb", "pptx", "mov", "xdw", "ods", "wav", "mp3", "aiff", "flac", "m4a", "csv", "sql", "ora", "mdb", "mdf", "ldf", "ndf", "dtsx", "rdl", "dim"


*암호화 대상 경로


"C:\\"

"C:\\Users\\[사용자 계정]\\Desktop"

"C:\\Users\\Public\\Desktop"

"C:\\Users\\[사용자 계정]\\Documents"

"C:\\Users\\[사용자 계정]\\Pictures"

"C:\\Users\\[사용자 계정]\\Desktop"

"C:\\Users\\[사용자 계정]\\Documents"

"C:\\Users\\[사용자 계정]\\Music"

"C:\\Users\\Public\\Music"

"C:\\Users\\Public\\Pictures"

"C:\\Users\\[사용자 계정]\\Videos"

"C:\\Users\\[사용자 계정]\\Downloads"


*암호화 제외 경로


C:\\Windows

C:\\Windows\\system32

C:\\Windows\\SysWOW64

C:\\Program Files\\Common Files

C:\\Program Files (x86)\\Common Files

C:\\Program Files

C:\\Program Files (x86)

 

파일을 암호화하기 전, 아래의 서비스 종료 및 비활성화, 프로세스 종료 기능을 수행합니다. 이는 원활한 파일 암호화 기능을 수행하기 위한 것으로 보입니다.

 

*서비스 종료 대상 기능 


avpsus

McAfeeDLPAgentService

BMR Boot Service

NetBackup BMR MTFTP Service


*서비스 비활성화 대상


SQLTELEMETRY 

SQLTELEMETRY$ECWDB2

SQLWriter 

SstpSvc


*프로세스 종료 대상 목록


mspub.exe

mydesktopqos.exe

mydesktopservice.exe


또한 파일 암호화 진행시 쉐도우 볼륨 및 윈도 백업 관련 파일을 삭제하기 때문에 사용자 입장에서는 복호화키 없이는 파일을 원상복구하기 불가능해집니다.

 

* 쉐도우 볼륨 삭제하는 명령어


"Delete Shadows /all /quiet"

"resize shadowstorage /for=c: /on=c: /maxsize=401MB"

"resize shadowstorage /for=c: /on=c: /maxsize=unbounded"

"resize shadowstorage /for=d: /on=d: /maxsize=401MB"

“resize shadowstorage /for=d: /on=d: /maxsize=unbounded"

"resize shadowstorage /for=e: /on=e: /maxsize=401MB"

"resize shadowstorage /for=e: /on=e: /maxsize=unbounded"

"resize shadowstorage /for=f: /on=f: /maxsize=401MB"

"resize shadowstorage /for=f: /on=f: /maxsize=unbounded"

"resize shadowstorage /for=g: /on=g: /maxsize=401MB"

"resize shadowstorage /for=g: /on=g: /maxsize=unbounded"

"resize shadowstorage /for=h: /on=h: /maxsize=401MB"

"resize shadowstorage /for=h: /on=h: /maxsize=unbounded"

"Delete Shadows /all /quiet"



일부 확장자(docx, pdf, xlsx, csv)의 경우 ftp에 업로드하는 기능이 포함되어 있지만, 테스트 목적으로 보여집니다.

 

항목

FTP 도메인

ftp://files.000webhost.com/public_html/

ID

FTP UserName

PassWord

FTP Password


코로나 랜섬웨어는 이메일 첨부파일을 통해 초기 유포가 이뤄졌을 것으로 추정되며, 대다수의 랜섬웨어 공격이 악성 이메일을 통해 최초 공격이 시작되는 점을 염두에 두고 출처를 알 수 없거나 의심되는 메일에 대한 첨부파일 열람에 특히 주의를 기울여야 합니다.

 

이번 코로나 랜섬웨어의 경우 Hakbit 랜섬웨어의 변종이기 때문에, 기존에 이미 릴리즈되어 있는 Hakbit 랜섬웨어 복호화툴로는 대응이 가능할 지 확인해보았으나 복호화가 불가능함이 확인되었습니다. (2020/03/02 확인)

 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Hakbit 으로 탐지 중입니다.




관련글 더보기

댓글 영역