울지않는벌새 : Security, Movie & Society

자동 로그인 정보를 수집하는 MicroCop 랜섬웨어 정보 (2016.6.25)

벌새::Analysis

최근 Trend Micro 보안 업체에서 공개한 MicroCop 랜섬웨어(Ransomware)는 감염된 PC 사용자가 48.48 BTC을 훔쳤으니 돈을 되돌려주면 암호화된 파일을 해제해주겠다는 협박 메시지를 표시하고 있다고 합니다.

 

 

그런데 MicroCop 랜섬웨어는 감염 과정에서 사용자 PC에 저장된 웹 브라우저, FTP 로그인 정보를 수집하며, 암호화 대상 영역에 존재하는 폴더 내에 존재하는 하위 폴더의 파일들은 암호화 대신 자동 삭제하는 행위가 있기에 살펴보도록 하겠습니다.

 

우선 Trend Micro 보안 업체에서 밝힌 감염 방식은 메일에 첨부된 MS Word 문서(.doc)를 실행하여 매크로(Macro) 실행을 허용할 경우 Windows Powershell 기능을 통해 특정 서버에서 AutoIt 스크립트로 제작된 putty.exe 악성 파일(SHA-1 95f8d1202c865c3fa04ced9409f83ee2755fdb28 - avast! : Win32:AutoIt-CER [Trj])을 다운로드 및 실행하여 임시 폴더(%Temp%)에 다음과 같은 악성 파일 생성 및 악의적인 행위를 수행합니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\8x8x8

C:\Users\%UserName%\AppData\Local\Temp\PassW8.txt

 

C:\Users\%UserName%\AppData\Local\Temp\c.exe :: 정보 유출 기능 (자동 삭제)

 - SHA-1 : 2083b11a5bf6cf125ff74828c1a58c10cc118e1b
 - Trend Micro : TSPY_MIRCOP.A

 

C:\Users\%UserName%\AppData\Local\Temp\Sqlite.dll

 

C:\Users\%UserName%\AppData\Local\Temp\wl.jpg

 

C:\Users\%UserName%\AppData\Local\Temp\x.exe :: 시작프로그램(MicroCop) 폴더 등록 파일, 파일 암호화 기능, 메모리 상주 프로세스

 - SHA-1 : 5009b0ab4efb7a69b04086945139c808e6ee15e1
 - 알약(ALYac) : Trojan.Ransom.LockyCrypt

 

C:\Users\%UserName%\AppData\Local\Temp\y.exe :: 파일 암호화 기능, 메모리 상주 프로세스

 - SHA-1 : 5009b0ab4efb7a69b04086945139c808e6ee15e1
 - 알약(ALYac) : Trojan.Ransom.LockyCrypt

 

C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop

 

 

 

1. 파일 암호화 기능 살펴보기

 

MicroCop 랜섬웨어(Ransomware) 감염 시 임시 폴더(%Temp%) 영역에 동일한 기능을 가진 x.exe, y.exe 2개의 파일을 생성하여 최초 감염 시에는 y.exe 파일을 이용한 파일 암호화 기능 수행 후, Windows 재부팅부터는 시작프로그램 폴더 영역에 추가된 MicroCop 자동 실행값을 통해 x.exe 파일을 실행하도록 구성되어 있습니다.

 

 

파일 암호화가 진행될 경우 라이브러리(동영상, 문서, 사진, 음악) 폴더와 바탕 화면에 존재하는 파일 일체를 Lock. (원본 파일명).(원본 확장명) 형태로 암호화를 수행합니다.

 

 

암호화가 이루어진 파일을 실행할 경우 파일을 열 수 없는 것을 확인할 수 있으며, 현재 MicroCop 랜섬웨어에 의해 암호화된 파일을 복호화할 수 있는 방법은 공개되지 않았습니다.

 

 

파일 암호화 행위가 완료된 후에는 바탕 화면 배경을 "C:\Users\%UserName%\AppData\Local\Temp\wl.jpg" 파일로 변경하여 금전 요구 협박 메시지를 노출합니다.

 

 

특히 MicroCop 랜섬웨어에 의해 파일 암호화되는 과정에서 라이브러리 폴더 내부와 바탕 화면에 생성된 폴더가 존재할 경우 폴더 자체를 1개 파일로 인식하여 암호화하며 폴더 내에 존재하는 원본 파일은 암호화를 하지 않고 모두 삭제하는 행위를 확인할 수 있었습니다.

 

이로 인하여 돈을 지불하고 암호화된 파일을 복구하더라도 내부 폴더에 존재하던 자동 삭제된 파일은 복구할 수 없는 문제가 생깁니다.

 

2. 정보 유출 기능 살펴보기

 

 

MicroCop 랜섬웨어는 파일 암호화 기능 외에 "C:\Users\%UserName%\AppData\Local\Temp\c.exe" 악성 파일을 생성 및 실행하여 사용자 PC에 저장된 FileZilla, Skype, Firefox, Chrome, Opera 응용 프로그램이 저장하고 있는 자동 로그인 정보를 수집합니다.

 

 

이 과정에서 Windows 방화벽은 c.exe 파일이 수집된 정보를 외부로 유출하려는 통신 허용 여부를 묻는 창이 생성될 수 있습니다.

 

수집된 정보는 네덜란드(Netherlands)에 위치한 82.192.86.199 (dokkum.connaxiscloud.com) FTP 서버에 업로드되며 저장되는 텍스트 파일은 로그인 계정명을 기준으로 저장됩니다.

 

해당 정보 수집 기능이 완료된 후에는 c.exe 악성 파일은 "C:\Windows\System32\timeout.exe" 시스템 파일(timeout - pauses command processing)을 실행하여 "timeout  5" 명령어를 통해 자동 종료 및 삭제가 이루어집니다.

 

■ MicroCop 랜섬웨어(Ransomware) 대응 방법

 

 

MicroCop 랜섬웨어에 의해 파일 암호화 행위를 수행될 경우 AppCheck 안티랜섬웨어 제품이 암호화 행위를 탐지하여 차단/제거 및 일부 훼손된 파일들은 자동 복원할 수 있으므로 랜섬웨어 피해를 예방하기 위해서는 반드시 설치하시기 바랍니다.

 

마지막으로 랜섬웨어(Ransomware)는 파일 암호화를 통해 금전 지불을 요구하지만 이번 사례처럼 웹사이트 및 FTP 계정 정보를 수집하여 추가적인 2차 피해로 연결될 수도 있다는 점에서 감염되지 않도록 주의하시기 바랍니다.