전문가들, PXJ 랜섬웨어에 대해 경고해

Experts warn of a new strain of ransomware, the PXJ Ransomware

IBM X-Force의 보안 연구원들이 새로운 PXJ 랜섬웨어를 발견했습니다. 이는 알려진 다른 랜섬웨어 패밀리와 코드를 공유하고 있지 않았습니다.

PXJ 랜섬웨어는 2020년 초 처음으로 활동을 시작했으며, 타 랜섬웨어와 유사한 기능을 가지고 있습니다. 연구원들은 2월 29일 처음으로 이 랜섬웨어를 발견했습니다. 랜섬웨어의 샘플 2개가 VirusTotal에 업로드 되었습니다.

PXJ 랜섬웨어의 이름은 암호화 후 추가되는 파일 확장자에서 따왔습니다. 이 악성코드는 XVFXGW로도 알려져 있습니다. 랜섬노트에 “XVFXGW“라는 문구를 포함하는 이메일 주소를 사용하기 때문입니다. (“xvfxgw3929@protonmail.com”, “xvfxgw213@decoymail.com”)

연구원들이 분석한 샘플 2개 중 하나만 오픈소스 실행파일 패커인 UPX를 사용했습니다.

당시 전문가들은 이 랜섬웨어의 초기 감염 벡터를 알아낼 수 없었습니다. PXJ 랜섬웨어는 다른 랜섬웨어 패밀리와 마찬가지로 사용자가 삭제된 저장소에서 파일을 복구할 수 없도록 섀도우 볼륨 복사본을 제거합니다.

이후 피해자의 파일을 암호화하기 시작합니다. 이 랜섬웨어는 사진, 이미지, 데이터베이스, 문서, 영상 및 기타 파일을 노립니다.

PXJ 랜섬웨어는 AES 및 RSA 알고리즘을 통해 데이터를 암호화합니다. 이 기술은 다른 위협에서도 꽤 흔히 사용됩니다.

“많은 랜섬웨어들이 AES 알고리즘을 통해 파일을 암호화하기 시작합니다. 악성 프로세스가 방해를 받기 전 빠르게 파일을 암호화할 수 있기 때문입니다. 이후 AES 키는 더욱 강력한 RSA 알고리즘으로 암호화됩니다.”

암호화 과정이 완료되면, 랜섬웨어는 랜섬노트인 “LOOK.txt”를 드롭합니다. 이 노트에는 랜섬머니를 지불하는 절차에 대한 정보를 얻으려면 피해자의 이메일로 연락 달라는 메시지가 포함되어 있습니다.

피해자가 돈을 지불하지 않으면, 3일 이후부터 매 1일마다 금액이 배로 증가합니다. 또한 1주일이 지나면 복호화 키는 파괴된다고 피해자를 협박합니다.

전문가들이 발견한 두 샘플 중 하나는 네트워크 통신을 사용하고 있었습니다. 운영자는 네트워크 연결을 통해 기기가 이미 감염된 상태인지 확인합니다.

또한 이들은 샘플 중 하나의 URL에 트래픽 확인을 위한 파라미터가 포함되어 있음을 확인했습니다. 이 파라미터는 “token”으로 값이 Base-64로 인코딩되어 있었습니다.

“페이로드가 없고, 타임 스탬프를 포함하는 여러 GET 요청이 있는 것으로 보아 트래픽 확인용으로 추측됩니다. 하지만 확인된 것은 아닙니다. 이 URL로 전송되는 GET 요청에는 어떠한 추가 페이로드도 포함되어 있지 않은 것으로 보이며, 서버는 단순히 “0”으로 응답합니다.”

PXJ 랜섬웨어에 대한 기술적 세부사항은 IBM X-Force에서 발행한 보고서에서 좀 더 자세히 확인하실 수 있습니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Genasom로 탐지중에 있습니다. 

출처 : 

https://securityaffairs.co/wordpress/99696/malware/pxj-ransomware.html

https://securityintelligence.com/posts/pxj-ransomware-campaign-identified-by-x-force-iris/