상세 컨텐츠

본문 제목

새로운 VCrypt 랜섬웨어, 패스워드로 보호된 7ZIP에 파일 잠가

국내외 보안동향

by 알약(Alyac) 2020. 5. 6. 14:30

본문

New VCrypt Ransomware locks files in password-protected 7ZIPs


새로운 랜섬웨어인 VCrypt가 프랑스 피해자들을 노리고 있는 것으로 나타났습니다. 


이 랜섬웨어는 합법적인 7zip 명령 프로그램을 통해 데이터 폴더의 패스워드 보호 압축파일을 생성하여 파일을 암호화합니다.


이 새로운 랜섬웨어는 윈도우 폴더에서 발견된 피해자의 파일을 모두 삭제하고, 해당 폴더명을 딴 새로운 암호화된 파일을 생성합니다.


이 암호화된 파일의 이름은 계정명_폴더명.vcrypt와 같은 형태로 생성됩니다.


예를 들어, 아래 이미지와 같이 Documents 폴더 내 파일이 삭제된 후 User_documents.vcrypt 파일이 생성됩니다.

 


<압축된 폴더>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>



랜섬웨어가 시작되면 이 악성코드는 인터넷 익스플로러를 실행하고 help.html이라는 랜섬노트를 표시합니다. 


이 랜섬웨어는 프랑스어로 작성되었으며 피해자에게 파일을 돌려받기 위한 방법을 알려주는 웹사이트로 안내합니다.

 


<VCrypt 랜섬 노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>



위 내용의 번역본은 아래와 같습니다.



Q: 내 파일은 어떻게 되었나요?

A: 모든 파일이 암호화되어 보호된 영역으로 옮겨졌습니다.

Q: 어떻게 문서를 복구할 수 있나요?

A: 이 웹페이지의 지침을 따르십시오. 페이지가 열리지 않을 경우 인터넷 연결을 확인해 주세요.



이 웹사이트에 접근을 시도했지만 오프라인 상태였기 때문에 얼마나 많은 랜섬머니를 요구했는지는 알 수 없었습니다.



VCrypt, 패스워드로 보호된 7zip 압축파일 생성해


BleepingComputer가 이 랜섬웨어의 샘플을 받아 조사 결과, 이 랜섬웨어는 어떠한 파일도 암호화하지 않는다는 사실을 발견했습니다.


이 랜섬웨어는 실행된 후 자기 자신이 자동으로 시작되도록 설정한 후 합법적인 7zip 명령 프로그램인 7za.exe 파일을 ‘mod_01.exe’로 변경하여 %Temp% 폴더에 추출합니다.


그 후 아래 윈도우 문서 폴더를 패스워드로 보호된 압축파일에 넣는 작업을 시작합니다.



%USERPROFILE%\Desktop

%USERPROFILE%\Downloads

%USERPROFILE%\Pictures

%USERPROFILE%\Music

%USERPROFILE%\Videos

%USERPROFILE%\Documents

%PUBLIC%\Desktop

%PUBLIC%\Downloads

%PUBLIC%\Pictures

%PUBLIC%\Music

%PUBLIC%\Videos

%PUBLIC%\Documents



VCrypt가 생성한 모든 압축파일은 동일한 하드코딩된 패스워드를 사용합니다. 이후 모든 폴더가 삭제됩니다.


아래는 비밀번호가 'Oezfdse6f5esf413s5fd4e6fSQ45R424EDDEZS'로 설정된 압축파일을 생성하고 폴더의 내용을 삭제하는데 사용하는 명령어의 한 예입니다.



if exist "%USERPROFILE%\Desktop\" for /F %i in ('dir /b "%USERPROFILE%\Desktop\*.*"') do "%TEMP%\mod_01.exe" a -t7z -r -mx0 -pOezfdse6f5esf413s5fd4e6fSQ45R424EDDEZS "%USERPROFILE%\%username%_desktop.vcrypt" "%USERPROFILE%\Desktop\*" & del /f /s /q "%USERPROFILE%\Desktop\" & FOR /D %p IN ("%USERPROFILE%\Desktop\*") do rmdir "%p" /s /q



컴퓨터 내 드라이브 문자의 경우, 랜섬웨어는 파일을 삭제하기 전에 압축파일을 생성하지 않기 때문에 드라이브 와이퍼(Drive Wiper)의 역할을 합니다.



<다른 드라이브의 데이터 삭제>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/>



이 랜섬웨어가 어떤 방식으로 배포되는지는 아직까지 밝혀지지 않았습니다.


피해자들은 컴퓨터에 원격 데스크톱을 설정하지 않았으며, 최근 아무것도 다운로드하지 않았다고 밝혔습니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.vCrypt'으로 탐지 중입니다.





출처:

https://www.bleepingcomputer.com/news/security/new-vcrypt-ransomware-locks-files-in-password-protected-7zips/

관련글 더보기

댓글 영역