본문 바로가기

벌새::Analysis

VBS 스크립트 첨부 파일을 통한 Cerber 랜섬웨어 유포 주의 (2016.6.6)

반응형

최근 피싱(Phishing) 메일의 93%가 랜섬웨어(Ransomware) 유포에 활용되고 있다는 분석이 공개되면서 실제 2016년 3월경부터 블로그를 통해 공개되는 스팸(Spam) 메일 첨부 파일을 관련된 유포 사례가 랜섬웨어 위주로 작성되고 있습니다.

 

이런 와중에 VBS 스크립트 첨부 파일을 통해 Cerber 랜섬웨어 유포가 확인되어 간단하게 살펴보도록 하겠습니다.

 

 

  • 메일 제목 : RE: contact
  • 첨부 파일 : CONTRACT_185579100_contact.zip

특별한 메일 내용이 포함되어 있지 않은 계약 관련 연락처 정보가 첨부된 것으로 구성된 ZIP 압축 파일 내에는 contract.vbs 스크립트 파일(SHA-1 : 21f616f0b6db764ce10b7de846253dca524b86e1 - AhnLab V3 : VBS/Downloader)이 추가되어 있습니다.

 

일부 더미 코드를 제거한 편집된 상태입니다.

 

contract.vbs 스크립트 코드를 살펴보면 대다수의 더미(Dummy) 코드 사이에 특정 서버에서 파일 다운로드를 통해 임시 폴더(%Temp%)에 파일을 생성하여 실행되도록 구성되어 있습니다.

 

만약 정상적으로 파일 다운로드가 이루어질 경우 "C:\Users\(로그인 계정명)\AppData\Local\Temp\rad05A08.tmp.exe" 파일(SHA-1 : 1fbae5c2b8fb246f905011f4e33dfba2086bd426 - Microsoft : Ransom:Win32/Cerber) 생성 및 실행을 통해 다음과 같은 Cerber 랜섬웨어 감염이 진행됩니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\{CC34C69F-B56A-FEFA-E0B3-EEF2888A6753}\dcomcnfg.exe

 - SHA-1 : 1fbae5c2b8fb246f905011f4e33dfba2086bd426

 - Microsoft : Ransom:Win32/Cerber

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dcomcnfg.lnk


C:\Windows\System32\Tasks\dcomcnfg

 

생성 레지스트리 등록 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - dcomcnfg = "C:\Users\(로그인 계정명)\AppData\Roaming\{CC34C69F-B56A-FEFA-E0B3-EEF2888A6753}\dcomcnfg.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - dcomcnfg = "C:\Users\(로그인 계정명)\AppData\Roaming\{CC34C69F-B56A-FEFA-E0B3-EEF2888A6753}\dcomcnfg.exe"

 

 

Cerber 랜섬웨어는 %AppData% 폴더 내에 임의의 GUID 폴더를 생성하여 내부에 파일 암호화 행위를 수행하는 악성 EXE 파일을 생성 및 실행하여 문서, 사진, 음악, 압축, 동영상 등의 파일을 .cerber 파일 확장명으로 암호화합니다.

 

 

특히 파일 암호화가 완료된 후에는 # DECRYPT MY FILES #.html / # DECRYPT MY FILES #.txt / # DECRYPT MY FILES #.url / # DECRYPT MY FILES #.vbs 랜섬웨어 안내 파일을 생성한 후 # DECRYPT MY FILES #.vbs 파일 실행을 통해 여성 목소리로 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 내용을 반복적으로 출력하는 특징을 가지고 있습니다.

 

 

또한 Cerber 랜섬웨어는 파일 암호화 행위를 수행하는 악성 파일을 삭제하지 않을 경우 작업 스케줄러를 통해 1분 단위로 반복적으로 재실행되도록 구성되어 있으므로 파일 차단과 동시에 삭제가 필요합니다.

 

■ Cerber 랜섬웨어에 대응하는 AppCheck Pro 안티랜섬웨어 안내

 

 

AppCheck Pro 유료 제품은 백신 진단을 우회하여 파일 암호화를 수행할 수 있는 어떠한 Cerber 랜섬웨어(Ransomware)에 대해서도 악성 파일 차단 및 제거와 더불어 일부 암호화된 파일도 자동 복원하므로 Cerber 랜섬웨어 피해로부터 개인 파일을 보호할 수 있으므로 설치하시고 사용하시길 권장합니다.

728x90
반응형
  • 나그네 2016.06.07 18:28 댓글주소 수정/삭제 댓글쓰기

    커뮤니티사이트에서 또 난리가 났다고 하더군요
    랜섬이 돈이 잘벌리나 봅니다 ㅠㅠ

  • 상선약수 2016.06.07 20:41 댓글주소 수정/삭제 댓글쓰기

    대단히 죄송합니다만, 염치불고하고 문의 드립니다. 죄송합니다
    앱체크 정품을 사용하고 있는데 옵션항목증 자동백업항목에서 자동 백업 사용만 체크했고 그외 백업할 폴더 목록, 백업시 제외할 폴더 목록, 백어빗 제외할 파일 확장명, 백업 폴더 설정은 빈칸으로 두었습니다. *자동 백업 폴더이름 AutoBackup으로 표시되어있습니다. 변경없이 이대로 사용해도 괜찮을까요? 앱체크도구 일반로그에서는 자동백업이 완료되었습니다 (파일 0)이라고 표시되고 있습니다.
    항상 좋은 답변 주셔서 감사합니다.

    • AppCheck Pro 버전의 자동 백업은 기본값으로 있는 "백업할 폴더 목록"에서 삭제할 폴더는 삭제하시고 사용자가 원하시는 폴더를 지정해서 해당 폴더를 "백업 폴더 설정" 영역에 주기적으로 백업하게 하는 방식입니다.

      그러므로 백업할 폴더 목록에 중요한 문서, 사진 등이 저장된 폴더를 지정하시고 사용하시면 됩니다.