상세 컨텐츠

본문 제목

'저작권 위법 안내'메일을 위장한 'Makop' 랜섬웨어 다량 유포 중!

악성코드 분석 리포트

by 알약2 2020. 12. 16. 23:22

본문

 

 

안녕하세요. ESRC(이스트시큐리티 시큐리티 대응센터) 입니다.

 

현재 '저작권 위법 안내'메일을 위장하여 랜섬웨어가 유포되는 정황이 포착되어 일반 사용자들과 기업 담당자들의 주의가 필요합니다.

 

메일은 '자신의 작품을 동의 없이 사용하였고, 현재 저작권이 위반되는 사항이 있으니 해당 내용 확인하여 상의하자'는 내용과 함께 첨부파일을 포함하고 있습니다. 실제 첨부된 파일은 랜섬웨어 파일로 사용자에게 이메일 내용을 통하여 첨부 파일 실행을 유도합니다.

 

[그림1] 악성코드 유포 이메일 1

 

[그림 2] 악성코드 유포 이메일 화면 2

'저작권법 관련하여 위반인 사항'들 정리하여 보내드립니다.exe' 파일 분석

 

1) 특정 프로세스 종료

현재 시스템에서 아래 프로세스가 실행중일 경우, 이를 종료합니다. 이는 프로세스에서 접근중인 파일을 암호화시키기 위함으로 보입니다.

 

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

[표 1] 종료 대상 프로세스 목록

2) 파일 암호화

 

이 악성코드는 로컬 드라이브와 네트워크 드라이브를 대상으로 암호화 대상을 검색하고 암호화를 시킵니다. 암호화된 파일은 확장자를 '.[감염ID].[공격자 이메일].makop'변환합니다. 감염 ID 생성은 ProductID와 HDD Serial의 CRC32 연산 값을 감염 ID로 사용하며 공격자 이메일은 'moloch_helpdesk@tutanota.com'입니다.

 

 

[그림 3] 감염 ID 생성 코드

 

 

'boot.ini', 'bootfont.bin', 'ntldr' 'ntdetect.com', 'io.sys', 'readme-warning.txt'

[표 2] 암호화 제외 파일 문자열

 

 

'makop', 'CARLOS', 'shootlock', 'shootlock2', 'exe', 'dll'

[표 3] 암호화 제외 확장자 문자열

 

 

C:\Windows\
C:\ProgramData\microsoft\windows\caches
C:\Users\All Users\Microsoft\Windows\Caches

[표 4] 암호화 제외 경로 문자열

 

 

[그림 4] 파일 암호화 코드

 

3) 파일 복원 기능 방해

 

윈도에서는 사용자에게 윈도우 백업 서비스인 시스템 복원 기능을 제공합니다. 시스템 복원을 통하여 특정 시점의 볼륨 섀도 복사본을 만들면 해당 시점에 저장한 파일이나 폴더 등 윈도우 환경을 그대로 복원할 수 있습니다. 악성코드 제작자는 이 기능을 통하여 암호화된 파일이 복원되는 것을 방지하기 위해 아래의 명령어로 시스템 복원 기능을 방해합니다.

 

 

명령어

기능 설명

vssadmin delete shadows /all /quiet

볼륨 섀도 삭제

wmic shadowcopy delete

볼륨 섀도 삭제

bcdedit /set {default} bootstatuspolicy ignoreallfailures

Windows 오류 복구 알림 비활성화

bcdedit /set {default} recoveryenabled no

Windows 자동 복구 기능 비활성화

wbadmin delete catalog -quiet.

백업 카탈로그 삭제

[표 5] 파일 복원 방해 기능

 

 

이 악성코드는 감염 PC 내 파일들을 암호화시켜 복호화를 대가로 돈을 요구하는 랜섬웨어 악성코드입니다. 저작권이라는 민감한 소재로 사용자들에게 첨부파일을 실행시키도록 유도하기 때문에 사용자들의 각별한 주의가 필요합니다. 따라서 악성코드 피해를 예방하기 위해 출처가 불분명한 파일 실행을 지양해야 합니다. 

 

현재 알약에서는 'Trojan.Ransom.Makop'으로 진단하고 있습니다.

 

 

관련글 더보기

댓글 영역