실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 해외 토토 사이트 국내 유포 주의
안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 실제로 존재하는 디자이너 명의를 사칭한 악성 메일을 통해GandCrab 해외 토토 사이트가 유포되고 있어 주의를 당부드립니다.
관련글 보기
▶'저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의
▶가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가
▶국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요
▶'저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의
▶확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 해외 토토 사이트 감염
▶교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 해외 토토 사이트 변종 국내 유포 중!
▶‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 해외 토토 사이트 피해 확산 중
▶쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 해외 토토 사이트 유포 중
▶10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 해외 토토 사이트 유포 중!
▶글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 해외 토토 사이트 확산!
▶'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!
▶'차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 해외 토토 사이트 국내 다량 유포 주의
이번에 발견된 악성 메일은저작권에 위배된 이미지를 확인해달라는내용을 담고 있으며, 첨부된 파일을 열어서 이미지 파일을보도록 유도합니다.
[그림 1] 저작권 침해 메일 내용
첨부파일 '이미지 내용정리(참고하세요).egg'에는 'this.해외 토토 사이트', '1.원본이미지_180323.jpg.lnk', '2.사용이미지_180323.jpg.lnk', '3.사이트 링크정리_180323.doc.lnk'가 있습니다.만일 이용자가 이미지나 링크를 보기 위해 바로가기 파일을 클릭 할 경우 'this.해외 토토 사이트' PE 파일이 실행됩니다.
[그림 2] 첨부파일 '이미지 내용정리(참고하세요).egg'
[그림 3] '1.원본이미지_180323.jpg.lnk' 바로가기 파일의 속성
관련하여 바로가기파일에서는 기존 비너스락커(VenusLocker) 해외 토토 사이트에서 사용된 경로가 확인되었습니다.
[그림 4] 바로가기 파일에서 확인된 비너스락커에서 사용된 경로
'this.exe' 파일은 GandCrab 해외 토토 사이트로서 파일 암호화 기능을 수행합니다. 파일 암호화 전, 현재 실행 중인 프로세스를 확인하여SQL 관련 프로세스,MS 오피스, 스팀(Steam)등의 프로세스를 종료합니다. 이는 파일 쓰기 권한을 확보해 암호화를 원활하게 진행하려는 것으로 보여집니다.
[그림 5] 프로세스 종료 코드
다음은 종료 대상 프로세스 이름 목록입니다.
msftesql.해외 토토 사이트, sqlagent.해외 토토 사이트, sqlbrowser.해외 토토 사이트, sqlservr.해외 토토 사이트, sqlwriter.해외 토토 사이트, oracle.해외 토토 사이트, ocssd.해외 토토 사이트, dbsnmp.해외 토토 사이트, synctime.해외 토토 사이트, mydesktopqos.해외 토토 사이트, agntsvc.해외 토토 사이트isqlplussvc.해외 토토 사이트, xfssvccon.해외 토토 사이트, mydesktopservice.해외 토토 사이트, ocautoupds.해외 토토 사이트, agntsvc.해외 토토 사이트agntsvc.해외 토토 사이트, agntsvc.해외 토토 사이트encsvc.해외 토토 사이트, firefoxconfig.해외 토토 사이트, tbirdconfig.해외 토토 사이트, ocomm.해외 토토 사이트, mysqld.해외 토토 사이트, mysqld-nt.해외 토토 사이트, mysqld-opt.해외 토토 사이트, dbeng50.해외 토토 사이트, sqbcoreservice.해외 토토 사이트, excel.해외 토토 사이트, infopath.해외 토토 사이트, msaccess.해외 토토 사이트, mspub.해외 토토 사이트, onenote.해외 토토 사이트, outlook.해외 토토 사이트, powerpnt.해외 토토 사이트, steam.해외 토토 사이트, sqlservr.해외 토토 사이트, thebat.해외 토토 사이트, thebat64.해외 토토 사이트, thunderbird.해외 토토 사이트, visio.해외 토토 사이트, winword.해외 토토 사이트, wordpad.해외 토토 사이트
[표 1] 종료 대상 프로세스 이름
프로세스 종료 이후, 파일 암호화를 진행합니다. 암호화는 다음의 파일 경로, 파일 이름,확장자문자열을 제외한 파일들을 대상으로 합니다.
\\ProgramData\\
\\IETldCache\\
\\Boot\\
\\Program Files\\
\\Tor Browser\\
Ransomware
\\All Users\\
\\Local Settings\\
\\Windows\\
[표 2] 암호화 대상 제외 경로 문자열
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, CRAB-DECRYPT.txt
[표 3] 암호화 대상 제외 파일 이름 문자열
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .해외 토토 사이트, .yassine_lemmou
[표 4] 암호화 대상 제외 확장자 문자열
암호화 대상 경로에 복호화 결제 안내 내용이 담긴 'CRAB-DECRYPT.txt' 해외 토토 사이트노트 파일을 생성합니다.
[그림 6] 해외 토토 사이트노트 생성 코드
암호화된 파일 뒤에는 'CRAB' 확장명이 추가됩니다. 다음은 암호화된 파일 뒤에 'CRAB' 확장명이 추가되는 코드입니다.
[그림 6] 암호화된 파일 뒤에 확장명 'CRAB'를 추가하는 코드
[그림 7] 암호화된 파일
또한 GandCrab 해외 토토 사이트는 '%APPDATA%\Microsoft\' 경로에 '[임의의 영문자 6자리].exe'로 자가복제 한 뒤, 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다.
[그림 8] 자동 실행 레지스트리에 등록된 GandCrab 해외 토토 사이트
그리고 이번 GandCrab 해외 토토 사이트에서 사용하는C&C는 다음과 같습니다.
zonealarm.bit
ransomware.bit
[표 5] GandCrab에서 사용하는 C&C 목록
암호화 완료 이후, 복호화 결제 안내를 위해 토르 웹 브라우저 다운로드 사이트를 띄웁니다.
[그림 9] 토르 웹 브라우저 다운로드 사이트를 띄우는 코드
[그림 10] 토르 웹 브라우저 다운로드 주소
최종적으로 공격자는 해외 토토 사이트노트 파일인 'CRAB-DECRYPT.txt'을 통해 암호화된 파일을 복호화하기 위해 기재된 다크넷 주소로 접속을 유도합니다.
[그림 11] GandCrab 해외 토토 사이트노트
토르 웹 브라우저를 통해 다크넷에 접속할 경우 다음과 같이 결제할 수 있는 웹 사이트로 연결되며, 1.53 대시(DASH)을 요구합니다. 현재 1 Dash는 한국 가상화폐 시세 기준으로 약 40만원 선에서 거래가 이루어지고 있습니다.
[그림 12] 해외 토토 사이트 다크넷 화면
따라서 이러한 유형의 공격으로부터 해외 토토 사이트에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.
현재 알약에서는 관련 샘플들을'Trojan.Downloader.LnK.Gen', 'Trojan.Ransom.해외 토토 사이트'로 진단하고 있으며, 행위 기반으로 GandCrab 해외 토토 사이트를 탐지 및 차단하고 있습니다.
