2016년 4월경부터 윈도우(Windows) 정품 인증툴로 유명한 KMSpico 프로그램으로 위장한 Domino 랜섬웨어(Ransomware)가 유포되었던 것으로 확인되어 살펴보도록 하겠습니다.

 

일반적으로 KMSpico 윈도우 정품 인증툴의 경우 백신 프로그램에서 당연히 진단할 수 있다는 인식으로 인해 인터넷 상에서 다운로드 및 실행하는 과정에서 백신 실시간 감시 기능을 비활성화(OFF)한 상태로 진행하는 경우가 있기에 광범위하게 유포될 경우 피해를 입을 가능성이 높아질 것으로 생각됩니다.

 

우선 랜섬웨어(Ransomware) 기능이 포함되어 있지 않은 KMSpico 윈도우 정품 인증툴의 경우에는 신뢰된 인증 기관에서 검증할 수는 없는 @ByELDI 디지털 서명이 포함되어 있는 특징이 있습니다.

 

그런데 KMSpico 윈도우 정품 인증툴처럼 위장한 악성 파일(SHA-1 : c55af90403b74167d279e51ff2a5174b07f1c8df - Microsoft : HackTool:Win32/AutoKMS)에는 기본적으로 디지털 서명이 포함되어 있지 않은 상태로 유포되었습니다.

 

 

유포된 KMSpico 윈도우 정품 인증툴을 실행하면 화면 상으로는 KMSpico 프로그램 설치 화면이 표시되지만 백그라운드 방식으로 다음과 같은 악의적인 기능이 자동 실행됩니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\31688EFBC3B9C99914A5BB7FB58AEC9E.exe

 - SHA-1 : c48b67b901695d47b40d5ce9928bba850f4cd613
 - Kaspersky : not-a-virus:Downloader.Win32.Morstar.aaet

 

C:\Users\%UserName%\AppData\Local\Temp\HelloWorld.exe

 - SHA-1 : e8f278a691cf05b7fd82e8ba39563275d24534ee
 - Trend Micro : Ransom_DOMINO.A

 

C:\Users\%UserName%\AppData\Local\Temp\help.exe

 - SHA-1 : c78d6faf926b39a6e460f02441106d7ca1d19c48
 - BitDefender : Trojan.CryptoLocker.EC

 

C:\Users\%UserName%\AppData\Local\Temp\help.zip

 

C:\Users\%UserName%\AppData\Local\Temp\KMSpico_setup.exe

 - SHA-1 : 58c66b0735e5a11e2e055633476581bf09e8d9e1
 - AhnLab V3 : HackTool/Win32.Crack.C509549

 

 

최초 KMSpico 파일을 실행할 경우 임시 폴더(%Temp%) 내에 정상적인 KMSpico 윈도우 정품 인증툴 설치 파일을 생성 및 실행하여 화면 상으로 표시하여 사용자의 눈을 속입니다.

 

하지만 이 과정에서 랜섬웨어(Ransomware) 기능을 수행하는 31688EFBC3B9C99914A5BB7FB58AEC9E.exe, help.zip 파일을 추가 생성한 후 help.zip 압축 파일의 비밀번호를 해제합니다.

 

help.zip 압축 파일은 abc123456 비밀번호를 사용하고 있으며, 내부에는 파일 암호화 기능을 수행하는 help.exe 파일과 파일 암호화 후 실행될 HelloWorld.exe 랜섬웨어 결제 안내 파일이 포함되어 있습니다.

 

이를 통해 사용자는 KMSpico 윈도우 정품 인증툴 설치에 집중하는 과정에서 실행된 help.exe 파일은 문서, 사진, 중요 데이터 파일들을 .domino 파일 확장명을 가진 암호화된 파일로 변환합니다.

 

 

모든 암호화가 완료된 후 또는 암호화 기능을 수행하는 help.exe 파일이 종료될 경우 31688EFBC3B9C99914A5BB7FB58AEC9E.exe 파일은 자동으로 HelloWorld.exe 랜섬웨어 결제 안내 파일을 실행하여 비트코인(Bitcoin) 결제를 요구하는 메시지 창을 생성합니다.

 

또한 시스템 복원을 통해 암호화된 파일 복구를 할 수 없도록 CMD 모드로 Microsoft 볼륨 섀도 복사본 서비스용 명령줄 인터페이스를 실행하여 "vssadmin delete shadows /all" 명령어를 수행합니다.

 

 

그 외에도 바탕 화면에 파일 암호화 사실과 금전을 요구하는 README_TO_RECURE_YOUR_FILES.txt 랜섬웨어 결제 안내 파일을 생성할 수 있습니다.

 

Domino 랜섬웨어(Ransomware) 대응 방법

 

 

KMSpico 윈도우 정품 인증툴로 위장하여 몰래 설치된 후 파일 암호화를 수행하는 Domino 랜섬웨어(Ransomware) 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단(제거) 및 일부 훼손된 파일을 자동 복원할 수 있습니다.

 

특히 불법적인 윈도우 정품 인증툴 사용 시 백신 진단 문제로 실시간 감시를 끄는 경향이 매우 강하다는 점에서 내부에 포함된 악성 기능으로 실제 백신에서 차단할 수 있는데도 랜섬웨어(Ransomware) 피해를 당할 수 있다는 점에서 AppCheck 안티랜섬웨어와 같은 추가적인 랜섬웨어 차단 솔루션을 함께 사용하시는 것을 추천해 드립니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..