최근 피싱(Phishing) 메일의 93%가 랜섬웨어(Ransomware) 유포에 활용되고 있다는 분석이 공개되면서 실제 2016년 3월경부터 블로그를 통해 공개되는 스팸(Spam) 메일 첨부 파일을 관련된 유포 사례가 랜섬웨어 위주로 작성되고 있습니다.
이런 와중에 VBS 스크립트 첨부 파일을 통해 Cerber 랜섬웨어 유포가 확인되어 간단하게 살펴보도록 하겠습니다.
- 메일 제목 : RE: contact
- 첨부 파일 : CONTRACT_185579100_contact.zip
특별한 메일 내용이 포함되어 있지 않은 계약 관련 연락처 정보가 첨부된 것으로 구성된 ZIP 압축 파일 내에는 contract.vbs 스크립트 파일(SHA-1 : 21f616f0b6db764ce10b7de846253dca524b86e1 - AhnLab V3 : VBS/Downloader)이 추가되어 있습니다.
contract.vbs 스크립트 코드를 살펴보면 대다수의 더미(Dummy) 코드 사이에 특정 서버에서 파일 다운로드를 통해 임시 폴더(%Temp%)에 파일을 생성하여 실행되도록 구성되어 있습니다.
만약 정상적으로 파일 다운로드가 이루어질 경우 "C:\Users\(로그인 계정명)\AppData\Local\Temp\rad05A08.tmp.exe" 파일(SHA-1 : 1fbae5c2b8fb246f905011f4e33dfba2086bd426 - Microsoft : Ransom:Win32/Cerber) 생성 및 실행을 통해 다음과 같은 Cerber 랜섬웨어 감염이 진행됩니다.
|
생성 폴더 / 파일 및 진단 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\{CC34C69F-B56A-FEFA-E0B3-EEF2888A6753}\dcomcnfg.exe - SHA-1 : 1fbae5c2b8fb246f905011f4e33dfba2086bd426 - Microsoft : Ransom:Win32/Cerber
|
|
생성 레지스트리 등록 정보 |
|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
|
Cerber 랜섬웨어는 %AppData% 폴더 내에 임의의 GUID 폴더를 생성하여 내부에 파일 암호화 행위를 수행하는 악성 EXE 파일을 생성 및 실행하여 문서, 사진, 음악, 압축, 동영상 등의 파일을 .cerber 파일 확장명으로 암호화합니다.
특히 파일 암호화가 완료된 후에는 # DECRYPT MY FILES #.html / # DECRYPT MY FILES #.txt / # DECRYPT MY FILES #.url / # DECRYPT MY FILES #.vbs 랜섬웨어 안내 파일을 생성한 후 # DECRYPT MY FILES #.vbs 파일 실행을 통해 여성 목소리로 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 내용을 반복적으로 출력하는 특징을 가지고 있습니다.
또한 Cerber 랜섬웨어는 파일 암호화 행위를 수행하는 악성 파일을 삭제하지 않을 경우 작업 스케줄러를 통해 1분 단위로 반복적으로 재실행되도록 구성되어 있으므로 파일 차단과 동시에 삭제가 필요합니다.
■ Cerber 랜섬웨어에 대응하는 AppCheck Pro 안티랜섬웨어 안내
AppCheck Pro 유료 제품은 백신 진단을 우회하여 파일 암호화를 수행할 수 있는 어떠한 Cerber 랜섬웨어(Ransomware)에 대해서도 악성 파일 차단 및 제거와 더불어 일부 암호화된 파일도 자동 복원하므로 Cerber 랜섬웨어 피해로부터 개인 파일을 보호할 수 있으므로 설치하시고 사용하시길 권장합니다.