2016년 4월 초에 블로그를 통해 소개한 Shade 랜섬웨어(Ransomware)는 파일 암호화를 통한 금전 요구 이외에 추가적인 악성 프로그램 설치를 통해 다수의 웹사이트 관리자 계정에 접근하는 행위가 있음을 살펴본 적이 있었습니다.

 

그런데 최근 발견된 Shade 랜섬웨어 변종의 경우에는 파일 암호화 이후 스팸(Spam) 메일 발송 기능이 포함된 악성 프로그램을 설치하는 사례가 확인되어 살펴보도록 하겠습니다.

 

유포 방식은 이전과 동일한 메일에 동봉된 첨부 파일 실행 시 다음과 같은 외부 서버에 등록된 악성 파일 다운로드를 통해 감염이 유발되는 것으로 추정됩니다.

 

  • h**p://sentohous***.com/wp-content/plugins/libravatar-replace/schet.23.05.doc.exe (SHA-1 : 9c2a1856dbd2534ffc4a51f08428f215a1bd89fe) - Microsoft : Ransom:Win32/Troldesh.A

생성 폴더/파일 및 진단 정보

 

C:\ProgramData\Windows :: 숨김(H), 시스템(S) 속성
C:\ProgramData\Windows\csrss.exe :: 시작 프로그램(Client Server Runtime Subsystem) 등록 파일
 - SHA-1 : 9c2a1856dbd2534ffc4a51f08428f215a1bd89fe
 - Microsoft : Ransom:Win32/Troldesh.A

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Client Server Runtime Subsystem = "C:\ProgramData\Windows\csrss.exe"

 

 

감염을 통해 생성된 "C:\ProgramData\Windows" 폴더는 숨김(H), 시스템(S) 속성값으로 인하여 폴더 옵션의 보기 항목에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 체크를 하지 않을 경우 표시되지 않도록 설정되어 있습니다.

 

실행된 파일 암호화 기능을 수행하는 schet.23.05.doc.exe (= csrss.exe) 악성 파일은 Windows 8.1, Windows 10 운영 체제의 경우 보안 제품의 행위 기반을 우회할 목적으로 "C:\Windows\splwow64.exe" 시스템 파일(Print driver host for applications)을 로딩하여 정상적인 행위처럼 위장하여 파일 암호화 행위를 진행합니다.

 

이를 통해 문서, 사진, 압축, 음악 등의 개인 파일을 "원본 문서.doc → jIFnnbcsBglxKSI9xFZZ+J9UKdcAzlFfbUwyWtfoCv8=.9E1C248D0F32159148F2.da_vinci_code" 패턴으로 변경하여 암호화가 이루어집니다.

 

 

또한 파일 암호화 완료 후에는 바탕 화면 배경을 "C:\Users\(로그인 계정명)\AppData\Roaming\81D5330481D53304.bmp" 파일로 변경하며, 10종(README1.txt ~ README10.txt)의 랜섬웨어 안내 파일을 생성합니다.

 

 

생성된 README1.txt 파일을 살펴보면 러시아어와 영어로 금전을 요구하는 내용이 포함되어 있는 것이 특징입니다.

 

 

참고로 .da_vinci_code 파일 확장명으로 암호화하는 Shade 랜섬웨어 변종에 대해서도 AppCheck 안티랜섬웨어 제품은 정상적으로 차단, 제거 및 일부 훼손된 파일을 자동 복원하여 데이터 보호에 성공하였으므로, 사전에 랜섬웨어(Ransomware) 피해로부터 예방하기 위해서는 반드시 설치하시고 사용하시기 바랍니다.

 

이렇게 파일 암호화 행위를 수행한 Shade 랜섬웨어는 추가적으로 다음과 같은 악성 파일을 사용자 몰래 설치할 수 있습니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\98674B52.exe :: 숨김(H) 속성, 시작 프로그램(CrashReportSaver) 등록 파일

 - SHA-1 : 37f3c5d24b45a5be479a6585e78405f7097e6256
 - Microsoft : Backdoor:Win32/Kelihos

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - CrashReportSaver = C:\Users\(로그인 계정명)\AppData\Local\Temp\98674B52.exe

 

 

Windows 시작 시 CrashReportSaver 시작 프로그램 등록값을 통해 자동 실행되는 임시 폴더(%Temp%)에 생성된 악성 파일은 다음과 같은 통신을 지속적으로 수행할 수 있습니다.

 

"Possible Breakout" 메일 제목을 가진 스팸(Spam) 메일을 구글(Google) SMTP 메일 전송 방식을 이용하여 발송되고 있는 것을 확인할 수 있습니다.

 

그러므로 일부 랜섬웨어(Ransomware)의 경우에는 파일 암호화 이외에도 추가적인 악성 프로그램 설치를 통해 웹서버 관리자 계정 접근, 스팸(Spam) 메일 발송, DDoS 공격, 부정한 광고 클릭 행위 등에 이용되는 악의적인 행위가 발생할 수 있으므로 감염되지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..