Cancer Ransomware 관련 이슈

2017. 2. 13. 14:51

최근 Locky ransomware 활동이 항상 낮은 상태에서 새로운 트로이 목마가 계속해서 급속도로
퍼지고 있는 것으로 관찰되었습니다.
이 트로이 목마는 Ransomware처럼 작동하지만 분석 중에 파일을 다시 가져와서 지불하는 방법에 대한
경고지침을 표시하지 못했다는 특징이 있습니다.


이번 포스팅은 Cancer Ransomware에 대한 이슈입니다.


먼저 감염경로 입니다.
이 트로이 목마는 가짜 VirusTotal 관련 파일로 전송됩니다.
다음 아이콘 및 파일 등록 정보를 사용합니다.


1


실행 시, 원격 서버에 ID를 전송하여 감염을 "등록"합니다.



AppData 디렉터리에 자체 복사본을 만들고 다음 파일도 삭제합니다.
% APPDATA % \ Local \ ~~ 42340900CANCER ~~ .dat
% APPDATA % \ Local \ ewwwwww ~ cancer.png
.png 파일은 감염 후 피해자의 바탕화면 배경을 변경하는데 사용되는 이미지처럼 보입니다.



.dat 파일에는 사용되지 않는 문자열이 일부만 있지만, 나중에 감염 데이터를 기록하는데
사용할 수 있는 파일의 자리 표시자 일 수 있습니다.



감염되는 동안 얼굴의 이미지가 스크린 세이버처럼 데스크탑에 떠다니기 시작합니다.



이 시점에서 대상 파일은 암호화되지 않지만 덮어씁니다.


5


파일 이름은 파일 확장자와 동일하게 유지되지만 더 이상 예상대로 작동하지 않습니다.
파일 연결이 수정되고 덮어 쓴 파일은 이제 위조된 Virustotal 아이콘을 가지며
실행될 때 트로이 목마를 시작합니다.


6


다음의 레지스트리 변경도 이루어졌습니다.



텍스트 편집기로 열면 피해자의 파일에는 이제 "_cancer"문자열 만 표시됩니다.


8


이 시점에서 장비는 너무 불안정해져서 블루 스크린으로 나타납니다.
분석 도중 경고 메모지불 지시가 있는 파일은 관찰되지 않았습니다.
만약 운영 체제 부팅 관련 파일도 암호화되어 시스템을 쓸모 없게 만들면,
피해자가 컴퓨터를 재부팅 할 수 없게됩니다.



이러한 멀웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,

공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.


Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을 정기적으로 USB

외장하드와 같은 외부 저장소백업하는 것 입니다.
클라우드 스토리지 시스템은 공격으로부터 안전하지 못하기 때문인데, 해커들은 이미 사용자의 클라우드

스토리지에 엑세스 하거나 패스워드를 복구하거나 클라우드에서 백업된 파일을 삭제 할 수 있기 때문입니다.


오늘은 Cancer Ransomwar에 대해 알아보는 포스팅이었습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.

 

 

profile_wonjun1


Posted by 로버무트

댓글을 달아 주세요