본문 바로가기

벌새::Analysis

바로 가기(.LNK) 파일을 이용한 Vault 랜섬웨어 감염 주의 (2016.7.22)

반응형

최근 하우리(Hauri) 보안 업체에서 메일 첨부 파일로 동봉된 바로 가기(.LNK) 파일을 실행할 경우 파일 암호화를 통해 금전을 요구하는 Vault 랜섬웨어(Ransomware)에 감염될 수 있다는 정보를 공개하였습니다.

 

 

바로 가기(.LNK) 파일은 바탕 화면에 생성되는 특정 프로그램 실행을 위한 연결 고리로 실행 시 일반적으로 특정 파일을 실행할 수 있는 형태입니다.

 

 

그런데 이번 사례와 같이 메일 첨부 파일에 동봉된 문서 아이콘 형태의 바로 가기(.LNK) 파일(SHA-1 : f21d2636b1b30df708be5de427e3ddb500b3136d - BitDefender : Trojan.LNK.Gen)은 사용자가 문서 파일로 착각하여 실행을 유도할 수 있습니다.

 

 

만약 사용자가 바로 가기(.LNK) 파일을 실행할 경우 CMD 명령어를 통해 특정 .ru 도메인 주소에 연결하여 자동으로 config.js 스크립트 파일을 임시 폴더(%Temp%)에 다운로드하여 실행되는 구조입니다.

 

 

다운로드된 난독화된 코드가 포함된 config.js 스크립트 파일(SHA-1 : fe520b3e0448f5b50396cbbb1fa0662e335f10e9 - Norton : JS.Downloader)은 "C:\Windows\System32\wscript.exe" 시스템 파일(Microsoft Windows Based Script Host)을 통해 임시 폴더에 다음과 같은 악성 파일 생성 및 실행되어 랜섬웨어(Ransomware) 활동이 진행됩니다.

 

우선 Vault 랜섬웨어(Ransomware)는 사용자에게 문서 아이콘 모양의 바로 가기(.LNK) 파일이 실제 문서를 표시하는 것처럼 속일 목적으로 생성된 "C:\Users\%UserName%\AppData\Local\Temp\doc_2fecfe.docx" 파일을 실행하여 다음과 같은 문서를 보여줍니다.

 

 

화면에 생성된 MS Word 문서(.docx)를 통해 사용자는 자신이 실행한 파일이 문서로 착각하게 만들고 백그라운드 작업을 통해 파일 암호화를 진행하게 됩니다.

 

랜섬웨어(Ransomware) 행위를 위해 생성한 "C:\Users\%UserName%\AppData\Local\Temp\98b0b9a1133.exe" 파일(SHA-1 : f04efaa6b66c62d55c85d084f6ff573464f28585 - Hauri ViRobot : Trojan.Win32.VaultCrypt.113786[h])은 시스템 복구 방해 및 파일 암호화 행위를 수행합니다.

 

 

우선 파일 복구를 방해할 목적으로 "WMI 명령줄 유틸리티" 실행을 통해 ["C:\Windows\System32\wbem\WMIC.exe" process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"] 명령어를 수행하여 볼륨 섀도 복사본 삭제 및 부팅 구성 데이터 편집기(bcdedit.exe)를 통한 시스템 복구 기능을 무력화할 수 있습니다.

 

암호화된 파일은 .vault 파일 확장명이 추가된 형태로 변경되며, 바탕 화면에 생성된 숨김(H) 속성값을 가지는 VAULT.hta 메시지 파일을 ["C:\Windows\System32\mshta.exe" "C:\Users\%UserName%\Desktop\VAULT.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}] 명령어로 실행하여 다음과 같은 랜섬웨어 메시지 창을 생성합니다.

 

 

생성된 메시지 창으로 유추해보면 현재 Vault 랜섬웨어(Ransomware)는 러시아어(Russian) 사용자를 표적으로 제작된 것으로 보입니다.

 

또한 Windows 시작 시마다 Vault 랜섬웨어 행위를 지속할 목적으로 시작프로그램 폴더 영역에 "C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif" MS-DOS 프로그램으로 바로 가기(.pif) 파일(= 98b0b9a1133.exe)을 추가하여 메시지 생성 및 파일 암호화 행위를 수행하도록 구성되어 있습니다.

 

.vault 파일 확장명으로 암호화하는 Vault 랜섬웨어(Ransomware) 대응 방법

 

 

백신에서 진단되지 않을 수 있는 바로 가기(.LNK) 파일 실행을 통해 .vault 파일 확장명으로 암호화하는 Vault 랜섬웨어(Ransomware) 행위에 대하여 AppCheck 안티랜섬웨어 제품에서는 암호화 행위 차단 및 제거와 동시에 일부 암호화된 파일에 대한 자동 복원을 지원하고 있으므로 피해 예방을 위해 설치해 두시기 바랍니다.

728x90
반응형