비너스락커 조직, Makop 랜섬웨어 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다.

[그림 1] Makop 랜섬웨어 이메일 본문

첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다.

[그림 2] pdf로 위장된 랜섬웨어 파일

이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다.

[그림 3] 섀도 볼륨 삭제 명령

또한 특정 프로세스들을 종료시킵니다. 이는 현재 프로세스에서 접근 중인 파일들을 암호화시키기 위함으로 보입니다.

ocautoupds.exe

encsvc.exe

firefoxconfig.exe

tbirdconfig.exe

ocomm.exe

mysqld.exe

mysqld-nt.exe

mysqld-opt.exe

dbeng50.exe

sqbcoreservice.exe

excel.exe

infopath.exe

msaccess.exe

mspub.exe

onenote.exe

outlook.exe

powerpnt.exe

steam.exe

thebat.exe

thebat64.exe

thunderbird.exe

visio.exe

winword.exe

wordpad.exe

아래 그림은 파일 암호화 코드입니다.

[그림 4] 파일 암호화 화면

파일 암호화가 완료되면 아래와 같은 랜섬노트를 보여줍니다.

 

 

[그림 5] 랜섬노트 화면

출처가 불분명한 메일을 확인할 경우 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 사용중인 OS와 SW는 항상 최신버전으로 유지해야 합니다. 또한 정상적인 파일의 아이콘을 도용한 악성코드 실행파일에 속지 않기 위해 윈도 탐색기 > 보기 설정에서 확장자명에 체크하셔서 확장자명 전체를 볼 수 있도록 하시는 것도 한가지 대비책이라고 할 수 있습니다.

알약에서는 해당 랜섬웨어 및 악성코드에 대해 Trojan.Ransom.Makop / Trojan.Agent.Wacatac 으로 탐지 및 차단하고 있으며, 랜섬웨어와 정보탈취 악성코드에 대한 상세분석 내용 및 IoC 정보는 Threat Inside에서 확인하실 수 있습니다.