X-mas Ransomware 관련 이슈

Ransomware는 가장 널리 퍼진 멀웨어가 되고 있습니다.
얼마전 SonicWALL 연구팀은 또 다른 변종 Ransomware에 대한 보고서를 받았습니다.
이 Ransomware는 크리스마스 이후 3주가 지난 지금도 크리스마스 분위기에 젖어있는 것으로 보입니다.

이번에 소개해드릴 Ransomware는 바로 Merry X-mas Ransomware입니다.
이 Ransomware는 피해자의 파일을 암호화 하는것 외에도 손상된 시스템에서 정보를 수집하여
원격 서버로 전송하는 일까지 합니다.

X-mas Ransomware의 감염경로의 한 예를 보여드리겠습니다.
Malspam은 법정에 출두하라는 가짜 통보였습니다.
전자 메일 헤더는 보낸사람의 주소가 스푸핑 되었음을 나타내고,
전자메일은 Microsoft와 관련된 cloudapp.net
도메인에서 가져온 것 입니다.

날짜/시간 : 일요일,2017-01-08 15:40:24 UTC
받은 곳 : rcp-drools.rcp-drools.a10.internal.cloudapp.net
Message-Id : 201701081540.v08FeOZU013692@rcp-drools.rcp-drools.a10.internal.cloudapp.net
올린 사람 : 법원 요원
제목 : 법원 출석 통지

Malspam의 링크가 .zip 파일을 다운로드 합니다.
Zip 파일에는 악성 매크로가 있는 Microsoft Word문서가 포함되어 있습니다.
Word 문서에서 매크로가 활성화되어 있으면 해당 매크로가 다운로드 되어 실행됩니다.

<감염과정 흐름도>

<Microsoft Word 매크로>

그런 다음 컴퓨터 이름, 사용자 로그인 정보, 관리자 권한, 컴퓨터 시스템 정보, 현재 실행중인 프로세스 및 설치된 프로그램과 같은 손상된 시스템에 대한 정보를 수집합니다.
이러한 모든 데이터는 원격서버로 전송됩니다.

암호화 된 모든 파일에 확장자 ".RMCM1"을 추가합니다.
또한 파일이 암호화 된 모든 디렉토리에 "YOUR_FILES_ARE_DEAD.HTA"라는 파일의 복사본을 남깁니다.

이 .HTA 파일은 "Merry X-Mas!"라는 제목의 창을 엽니다.
지정된 시간 내에 결제가 이루어지지 않으면 파일이 삭제 될 것이라고 사용자에게 경고합니다.
공격자의 연락처 정보는 이 경고 메시지의 일부로도 나와 있습니다.

이 경고 메시지가 시작되는 동안 나타나게 하기위해, 다음 키가 레지스트리에 추가됩니다.
HKCR\Sofwate\Microsoft\Windows\CurrentVersion\Run "Adobe2" "% USER %\Desktop\YOUR_FILES_ARE_DEAD.HTA"

이러한 트로이 목마의 피해를 최소화 하기위해 우선적으로 해야할 일은
첫째, 사용하고 있는 PC의 윈도우 및 백신 프로그램을 최신버전으로 업그레이드 해야합니다.
둘째, C&C 서버로 보내지는것을 차단하기 위해 사내에서 사용하는 방화벽, 네트워크 구간에서 차단하면 피해를 최소화 할 수 있습니다.
셋째, 윈도우 백업을 주기적으로 하는 것 입니다.
넷째, 의심스러운 메일은 삭제하는 것이 좋습니다.

다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.