Cancer Ransomware 관련 이슈

최근 Locky ransomware 활동이 항상 낮은 상태에서 새로운 트로이 목마가 계속해서 급속도로
퍼지고 있는 것으로 관찰되었습니다.
이 트로이 목마는 Ransomware처럼 작동하지만 분석 중에 파일을 다시 가져와서 지불하는 방법에 대한
경고나 지침을 표시하지 못했다는 특징이 있습니다.

이번 포스팅은 Cancer Ransomware에 대한 이슈입니다.

먼저 감염경로 입니다.
이 트로이 목마는 가짜 VirusTotal 관련 파일로 전송됩니다.
다음 아이콘 및 파일 등록 정보를 사용합니다.

실행 시, 원격 서버에 ID를 전송하여 감염을 "등록"합니다.

AppData 디렉터리에 자체 복사본을 만들고 다음 파일도 삭제합니다.
% APPDATA % \ Local \ ~~ 42340900CANCER ~~ .dat
% APPDATA % \ Local \ ewwwwww ~ cancer.png
.png 파일은 감염 후 피해자의 바탕화면 배경을 변경하는데 사용되는 이미지처럼 보입니다.

.dat 파일에는 사용되지 않는 문자열이 일부만 있지만, 나중에 감염 데이터를 기록하는데
사용할 수 있는 파일의 자리 표시자 일 수 있습니다.

감염되는 동안 얼굴의 이미지가 스크린 세이버처럼 데스크탑에 떠다니기 시작합니다.

이 시점에서 대상 파일은 암호화되지 않지만 덮어씁니다.

파일 이름은 파일 확장자와 동일하게 유지되지만 더 이상 예상대로 작동하지 않습니다.
파일 연결이 수정되고 덮어 쓴 파일은 이제 위조된 Virustotal 아이콘을 가지며
실행될 때 트로이 목마를 시작합니다.

다음의 레지스트리 변경도 이루어졌습니다.

텍스트 편집기로 열면 피해자의 파일에는 이제 "_cancer"문자열 만 표시됩니다.

이 시점에서 장비는 너무 불안정해져서 블루 스크린으로 나타납니다.
분석 도중 경고 메모나 지불 지시가 있는 파일은 관찰되지 않았습니다.
만약 운영 체제 부팅 관련 파일도 암호화되어 시스템을 쓸모 없게 만들면,
피해자가 컴퓨터를 재부팅 할 수 없게됩니다.

이러한 멀웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,

공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.

Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을 정기적으로 USB나

외장하드와 같은 외부 저장소에 백업하는 것 입니다.
클라우드 스토리지 시스템은 공격으로부터 안전하지 못하기 때문인데, 해커들은 이미 사용자의 클라우드

스토리지에 엑세스 하거나 패스워드를 복구하거나 클라우드에서 백업된 파일을 삭제 할 수 있기 때문입니다.

오늘은 Cancer Ransomwar에 대해 알아보는 포스팅이었습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.