상세 컨텐츠

본문 제목

다른 윈도우 시스템을 감염시키기 위해 웜 방식을 시도하는 Try2Cry 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2020. 7. 6. 10:26

본문

Try2Cry ransomware tries to worm its way to other Windows systems


다른 윈도우 시스템으로 전파되기 위해 웜 방식을 시도하는 새로운 랜섬웨어인 Try2Cry가 발견되었습니다.


이 악성코드는 USB 플래시 드라이브를 감염시키고, 타깃의 파일로 위장한 윈도우 바로가기(LNK) 파일을 통해 사용자를 감염시킵니다.


Try2Cry 랜섬웨어는 G DATA 악성코드 분석가인 Karsten Hahn이 밝혀지지 않은 악성코드 샘플을 분석하던 중 USB 웜 컴포넌트를 탐지하도록 설계된 탐지 시그니처가 트리거되어 발견되었습니다.


Hann은 DNGuard 코드 보호 툴로 암호화된 샘플을 분석한 결과 Try2Cry는 .NET 랜섬웨어이며 오픈소스 Stupid 랜섬웨어 패밀리의 또 다른 변종이라는 것을 발견했습니다.


Stupid 랜섬웨어 변종은 기술이 부족한 악성코드 개발자들이 주로 만드는 것으로 알려져 있으며 보통 법집행부와 팝 문화 관련 주제를 사용합니다.


이 연구원은 좀 더 쉬운 분석을 위해 난독화되지 않은 변종을 찾던 중 VirusTotal에서 다른 Try2Cry 악성코드 샘플 10개를 발견했습니다. 이 중 일부는 웜 컴포넌트가 존재하지 않았습니다.



페일 세이프(failsafe)를 통해 복호화가 가능한 랜섬웨어


Try2Cry 랜섬웨어는 기기를 감염시킨 후 .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls, .xlsx 파일을 암호화하고 .Try2Cry 확장자를 붙입니다.


피해자의 파일은 Rijindael 대칭 키 암호화 알고리즘과 하드코딩된 암호화 키를 통해 암호화됩니다.


“이 암호화 키는 패스워드의 SHA512 해시를 계산한 후 이 해시의 첫 32비트를 사용하여 생성됩니다.”


“IV는 동일한 SHA512 해시의 다음 16비트(인덱스 32-47)를 사용하여 암호화 키와 동일한 방법으로 생성됩니다.”

 


<Try2Cry 암호화 키 계산>

<이미지 출처: https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm>



Try2Cry의 개발자는 랜섬웨어의 코드에 감염된 시스템에서 기기 이름이 DESKTOP-PQ6NSM4 또는 IK-PC2로 설정된 경우 암호화를 건너뛰도록 설계된 페일 세이프(failsafe)를 포함했습니다.


이는 아마도 개발자가 시스템에서 랜섬웨어를 테스트할 때 자신의 파일이 실수로 암호화되지 않도록 하는 장치인 것으로 보입니다.

 


<Try2Cry 랜섬노트>

<이미지 출처: https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm>



USB 드라이브를 통해 웜 방식 사용해


Try2Cry의 가장 인상적인 점은 USB 플래시 드라이브를 통해 다른 피해자의 기기를 감염시키려 시도하는 것입니다.


이를 위해 Spora 랜섬웨어와 Andromeda 봇넷(Gamarue 또는 Wauchos)과 유사한 기술을 사용합니다.


Try2Cry는 해킹된 컴퓨터에 연결된 이동식 드라이브를 찾습니다. 이후 발견한 모든 USB 플래시 드라이브의 루트 폴더로 자기 자신의 복사본인 Update.exe를 보냅니다.


이후 이동식 드라이브의 모든 파일을 숨기고, 동일한 아이콘을 사용하는 윈도우 바로가기(LNK) 파일로 바꿔버립니다.


이 아이콘을 클릭하면, 모든 바로가기는 오리지널 파일을 열고 백그라운드에서 Try2Cry 랜섬웨어 페이로드인 Update.exe를 실행합니다.

 


<USB 드라이브를 감염시키는 Try2Cry>

<이미지 출처: https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm>



또한 이 랜섬웨어는 USB 드라이브에 기본 윈도우 아이콘 폴더와 아랍어 이름을 사용하여 자기 자신의 복사본을 생성하고 호기심 많은 사용자가 이 파일을 클릭해 감염될 수 있도록 합니다.


Spora와는 다르게 Try2Cry의 윈도우 바로가기는 아이콘 옆에 화살표가 있어 플래시 드라이브가 감염된 후 찾아내기가 훨씬 쉽습니다.


다행스럽게도 다른 Stupid 랜섬웨어 변종들과 마찬가지로 Try2Cry 랜섬웨어 또한 복호화가 가능합니다. 이로써 프로그래밍 경험이 부족한 공격자가 개발했다고 추측할 수 있습니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.Filecoder'으로 탐지 중에 있습니다.






출처:

https://www.bleepingcomputer.com/news/security/try2cry-ransomware-tries-to-worm-its-way-to-other-windows-systems/

https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm

관련글 더보기

댓글 영역