최근에 해외에서 발견된 AVG 백신 프로그램의 5년 라이선스 인증툴로 위장한 Philadelphia 랜섬웨어 (= Stampado 랜섬웨어) 유포 방식이 확인되어 살펴보도록 하겠습니다.
- AVG_5Years_Antivirus_Activated.exe (SHA-1 : f4a6f3dd40ceaeda7b060ff0b2a69cb9a27e3153 - Microsoft : VirTool:INF/Autorun)
ZIP 압축 파일 형태로 유포된 악성 파일 내부에는 AVG 백신 아이콘으로 제작된 EXE 실행 파일이 존재하며, 사용자가 해당 파일을 실행할 경우 다음과 AVG 설치 화면이 표시됩니다.
- C:\Users\%UserName%\AppData\Local\Temp\a2ee4939eb7ba5999cfac939a1b8b4ec.exe (SHA-1 : 975e352a65d3f680b75b42fd556bb1b8f9fbead4 - AVG : Ransom_c.ECY)
- C:\Users\%UserName%\AppData\Local\Temp\AVG_Protection_Free_1606.exe :: "AVG Technologies CZ, s.r.o." 디지털 서명이 포함된 AVG 설치 파일
실행된 악성 파일은 임시 폴더(%Temp%) 영역에 AVG_Protection_Free_1606.exe 정상 파일(AVG Setup Self-Extractor based on 7-Zip)을 생성 및 실행되어 사용자 계정 컨트롤(UAC)이 동작합니다.
만약 사용자가 사용자 계정 컨트롤 창에서 예(Yes)를 선택할 경우 AVG AntiVirus Free 또는 AVG Internet Security 버전을 설치할 수 있습니다.
위와 같은 일련의 설치 과정 중에서 임시 폴더 영역에 추가적으로 생성된 악성 파일(a2ee4939eb7ba5999cfac939a1b8b4ec.exe)은 백그라운드로 자동 실행되어 다음과 같은 악의적인 기능을 수행합니다.
생성 파일 및 진단 정보 |
C:\Users\%UserName%\AppData\Roaming\scvhost.exe - SHA-1 : 975e352a65d3f680b75b42fd556bb1b8f9fbead4 - nProtect : Trojan-Spy/W32.ZBot.508907
|
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
임시 폴더에 생성된 a2ee4939eb7ba5999cfac939a1b8b4ec.exe 악성 파일은 scvhost.exe 파일명으로 자가 복제되어 Windows 부팅 시 자동 실행되도록 "Windows Update" 시작 프로그램 등록값으로 추가됩니다.
이를 통해 자동 실행된 scvhost.exe 악성 파일은 하드 디스크, 외장 하드, USB 드라이브에 존재하는 문서, 사진, 압축 파일 등을 (Random 파일명).locked 형태로 암호화를 하며, 이 과정에서 개별 파일별로 암호화하는 것이 아니라 분할 압축으로 추정되는 방식으로 묶어서 암호화하는 것으로 보입니다.
파일 암호화가 완료된 후에는 "All your files have been encrypted." 메시지 창을 생성하여 금전을 요구하며, 특히 Jigsaw 랜섬웨어처럼 6시간 단위로 암호화된 파일을 자동 삭제한다는 협박 내용이 포함되어 있습니다.
최종적으로 96시간(4일)이 경과하기 전에 금전을 지불하지 않을 경우 암호화된 파일 일체를 복구 불가능하도록 자동 삭제한다고 밝히고 있습니다.
특히 Philadelphia 랜섬웨어에서 발견되는 USB 또는 네트워크 공유 폴더를 대상으로 오토런(Autorun) 기능을 수행하는 악성 기능을 추가적으로 생성하는 부분에 대해 살펴보도록 하겠습니다.
USB 드라이브에 생성된 폴더 / 파일 및 진단 정보 |
\\myDisk :: 숨김(H) + 시스템(S) + 읽기(R) 전용 폴더
\\myDisk\drivers.exe :: 숨김(H) + 시스템(S) + 읽기(R) 전용 파일 - SHA-1 : 975e352a65d3f680b75b42fd556bb1b8f9fbead4 - Hauri ViRobot : Trojan.Win32.Z.Zbot.508907[h]
\\autorun.inf :: 숨김(H) + 시스템(S) + 읽기(R) 전용 파일 - SHA-1 : 14f6003ab671b69e4551fe5b942d2a1d69e8927d - Microsoft : VirTool:INF/Autorun.gen!F
\\System Volume Information.lnk
|
USB 드라이브를 살펴보면 Windows 탐색기 기본값에서는 폴더 아이콘 모양의 "System Volume Information" 바로 가기(.lnk) 파일이 표시됩니다.
사용자가 System Volume Information.lnk 바로 가기 파일을 폴더로 착각하여 클릭할 경우 %windir%\system32\cmd.exe /c start myDisk\drivers.exe "\System Volume Information" 명령어가 실행되어 Philadelphia 랜섬웨어 실행이 이루어집니다.
이는 최초 감염된 PC 이외의 다른 PC로 전파를 목적으로 USB 드라이브 또는 네트워크 공유 폴더에 위와 같은 악성 기능을 추가하는 것입니다.
또한 Windows 탐색기 기본값에서는 표시되지 않는 오토런(Autorun) 기능을 추가하여 감염된 USB 매체를 보안 설정이 제대로 이루어지지 않은 기기에 연결할 경우 drivers.exe 악성 파일이 자동 실행되도록 구성되어 있습니다.
그러므로 랜섬웨어(Ransomware)에 감염된 PC에 USB 드라이브 또는 네트워크 공유 폴더가 연결되어 있는 경우에는 반드시 해당 저장 장치에 오토런(Autorun) 악성 파일이 추가되어 있는지 점검할 필요가 있습니다.
이번 사례와 같이 대부분의 랜섬웨어(Ransomware) 감염 방식으로 사용되는 취약점(Exploit) 또는 메일 첨부 파일/링크와는 달리 소프트웨어 인증툴로 사용자를 속여서 직접 실행하도록 유도할 수 있으므로 Crack, Keygen 관련 파일은 되도록 실행하지 않도록 주의하시기 바랍니다.
Philadelphia 랜섬웨어 및 Stampado 랜섬웨어 계열에 대해서는 AppCheck 안티랜섬웨어를 통해 파일 암호화 행위 차단 및 자동 복구까지 지원하고 있으므로 백신 프로그램과 함께 사용하여 랜섬웨어 피해로부터 예방하시기 바랍니다.