[보안공지] 보안프로그램으로 위장한 랜섬웨어 발견

그림 1. 악성 파일 다운로드 화면

► 정식 프로그램명에서 ‘s’를 추가한 ‘SUPERAntiSpywares.exe’라는 가짜 실행파일을 배포
 

그림 2. 악성 파일과 정상 프로그램

► 랜섬웨어가 실행되면 ‘C:\ProgramData\Safe.exe’를 실행하여 감염 PC의 이벤트 로그를 C:\ProgramData\EventLog.txt로
   저장하고, 구성 파일과 비교
  ※ 구성파일에는 중지할 프로세서, 공개 암호화키, 공격자 연락처, 랜섬 가격, 확장자, 제외 파일 및 폴더, 제외 국가 및 언어 등이 포함

► 감염 PC의 언어, 위치(국가), 확장자를 확인하여 ‘00000000-Lockonion’ 형식으로 암호화 진행
   ※ 파일명의 숫자는 파일이 암호화 될 때마다 증가
 

그림 3. 랜섬웨어 실행 후 암호화된 파일

► 이후 PC의 여유 저장 공간을 0으로 덮고 Windows 시작 복구 기능을 비활성화, 백업 데이터를 삭제하여 복구를 어렵게 함


시사점
► 보안프로그램 제조사는 자사 서버에 존재하는 악성 파일을 삭제하고 서버 내 취약점을 조치하였다고 밝힘
► 해당 악성코드 다운로드 접근 경로 및 해독방법이 공개되지 않았으므로 출처를 알 수 없는 파일 삭제 및 최신 버전의 소프트웨어
   사용 등 사용자들의 각별한 주의가 필요


[출처]
1. Bleepingcoumputer, “Kraken Cryptor Ransomeware Masquerading as SuperAntiSpyware Security Program”, 2018.9.14.

작성 : 침해사고분석단 종합분석팀