최근 해외에서 발견된 금전을 요구하는 랜섬웨어(Ransomware)처럼 구성된 악성 프로그램 중 실제로는 파일 암호화 대신 파일 삭제 후 랜섬웨어처럼 동작하는 사례가 확인되어 간단하게 살펴보도록 하겠습니다.

 

최초 감염 방식은 이메일에 첨부된 complaint376878.pdf.bat 파일(SHA-1 : 9006330bc21723788d4b67cda684bb97bd548f67 - Sophos : Bat/Ransom-DHA)로 PDF 문서 파일로 착각하여 실행하도록 구성되어 있습니다.

 

 

complaint376878.pdf.bat 배치 파일을 살펴보면 Windows PowerShell 기능을 통해 아마존(Amazon) 서버에 등록된 wr6.bat 배치 파일(SHA-1 : fcc0a0da13f5eb16d30f5445a418f6eb88bd6954 - ESET : BAT/KillFiles.NJP)을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\winstrt.bat" 파일로 생성하여 CMD 명령어로 자동 실행되도록 구성되어 있습니다.

 

 

실행된 winstrt.bat 배치 파일은 "RUNDLL32 USER32.DLL,SwapMouseButton" 명령어를 통해 마우스(Mouse) 좌우 버튼 기능 바꾸기를 시도하여 사용자가 빠르게 자신의 행위를 중지하지 못하도록 방해합니다.

 

 

이후 다음과 같은 폴더 및 D, E, F, G, H, I 드라이브에 존재하는 파일을 일괄 삭제 처리를 시도할 수 있습니다.

 

  • %Temp%
  • %UserProfile%\Contacts
  • %UserProfile%\Desktop
  • %UserProfile%\Documents
  • %UserProfile%\Downloads
  • %UserProfile%\Favorites
  • %UserProfile%\Music
  • %UserProfile%\Pictures
  • %UserProfile%\Searches
  • %UserProfile%\Videos
  • $Recycle.Bin
  • D, E, F, G, H, I 드라이브

 

 

실제 CMD 명령어를 통해 라이브러리 폴더 내의 파일들이 자동 삭제되는 모습을 확인할 수 있으며, 해당 삭제 방식은 복구 불가능한 보안 삭제 방식이 아니므로 파일 복구 프로그램을 이용하여 복원이 가능하다고 알려져 있습니다.

 

 

파일 삭제가 이루어진 후에는 "C:\Windows\System32\netsh.exe" 시스템 파일(네트워크 명령 셸)을 통해 "interface set interface "Local Area Connection"" 명령어로 로컬 영역 연결 설정 및 "C:\Windows\System32\ipconfig.exe" 시스템 파일(IP 구성 유틸리티)을 통해 "Ipconfig /renew" 명령어로 IP 주소 갱신을 시도합니다.

 

이를 통해 아마존(Amazon) 서버에 등록된 anon.jpg 그림 파일을 추가 다운로드하여 바탕 화면에 Payment_Instructions.jpg 파일로 저장하며, Internet Explorer 웹 브라우저를 이용하여 "90354.6te.net" 웹 서버를 연결을 시도하지만 테스트 당시에는 정상적으로 연결되지 않습니다.(※ 해당 행위는 금전 요구 메시지를 표시할 목적으로 추정됩니다.)

 

또한 Windows 부팅 시마다 파일 자동 삭제 기능을 위해 winstrt.bat 파일을 시작프로그램 폴더에 복사하도록 XCOPY /-y /f "C:\Users\%UserName%\AppData\Roaming\winstrt.bat" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\" 명령어를 실행합니다.

 

 

이후 Windows PowerShell 기능을 이용하여 아마존(Amazon) 서버에 등록된 anonpop.exe 파일(SHA-1 : bfc834c63706f47fda8f702397a9b2fdd971762c - Malwarebytes : Ransom.FakeFileLocker)을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\photosr.exe" 파일로 저장 및 CMD 명령어로 자동 실행합니다.

 

 

실행된 파일은 Windows 화면 전체를 덮는 랜섬웨어 메시지(YOUR COMPUTER AND FILES AE ENCRYPTED)를 생성합니다.

 

 

특히 메시지가 노출된 후 약간의 시간이 경과하면 "C:\Windows\System32\wlrmdr.exe" 시스템 파일(Windows logon reminder)을 통해 60초 경과 시 PC를 로그오프한다는 메시지(Your Ransom to Get Your Files and Computer Back. Shutting Down In 60 Seconds. Email: supportfile@yandex.com for assistance.)를 노출합니다.

 

이 과정에서 실제로는 "C:\Windows\System32\shutdown.exe" /s /f /t 240 /c 명령어를 사용하므로 최초 전체 화면 방식의 랜섬웨어 메시지가 노출된 후 4분이 경과할 경우 자동으로 컴퓨터 종료가 이루어집니다.

 

 

이후 60초 경과 메시지가 닫힌 후 컴퓨터 종료가 2분 남을 경우 "2분 후에 Windows가 종료됩니다." 메시지가 다시 생성되며 실제 2분 경과가 이루질 경우 자동으로 컴퓨터 종료가 이루어집니다.

 

위와 같은 일련의 절차에 따라 파일 암호화가 아닌 파일 삭제 방식으로 문서, 사진, 동영상, 음악 등의 개인 파일을 삭제한 후 랜섬웨어(Ransomware)처럼 금전 협박 메시지를 노출하며, 감염 이후 Windows 부팅 시마다 4분이 경과하면 자동으로 컴퓨터를 종료하는 방식으로 위협을 주고 있습니다.

 

실제 금전을 지불하여도 암호화된 파일은 존재하지 않으므로 삭제된 파일은 복구할 수 없으므로 가짜 랜섬웨어로 인하여 금전적 피해를 당할 수 있으므로 메일 첨부 파일의 확장명에 속아 실행하는 일이 없도록 각별히 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..