이미지 파일을 이용한 SyncCrypt Ransomware 관련 이슈

최근 스팸을 통해 배포되는 SyncCrypt Ransomware에 관한 이슈가 있었습니다.
이 스팸메일은 법원에서 보낸듯한 내용과 함께 첨부 된 문서를 제공되는 긴급성 및 중요성을 지닌 메시지라고 주장하지만, 실제로 zip 아카이브내에 Windows 스크립트 파일(.wsf)이 포함되어 있습니다.
일단 실행되면 겉으로 보기에 악성이 아닌 이미지파일을 다운로드 한 다음 SyncCrypt 라는 Ransomware를 설치합니다.
오늘은 이미지 파일을 이용한 SyncCrypt Ransomware에 대해 포스팅 하겠습니다.

 

먼저 감염 경로입니다.
실행 시, 아래 javascript 코드의 snippet에서 볼 수 있는 jpg파일을 다운로드합니다.

 

 

위의 소스에서 jpg파일을 다운로드하려고 하면 악의적이지 않은 파일을 볼 수 있습니다.

 

 

그러나 면밀히 검토하면, 이 jpg파일은 Ransomware 구성 요소가 들어있는 아카이브처럼 보입니다.

 

 

이 파일들은 압축이 풀린 다음 다음 위치에 저장됩니다.
- %temp%\BackupClient\sync.exe
- %temp%\BackupClient\readme.html
- %temp%\BackupClient\readme.png

 

그런 다음 스크립트를 실행한 후 이 오류메시지를 표시하여 피해자를 혼동하려고 시도합니다.

 

 

한편, Ransomware는 희생자의 파일을 평소와 같이 암호화하고 모든 암호화 된 파일에

.KK를 추가합니다.
지불 지시에 대한 세부 사항이 있는 Ransomware 노트가 아래 그림과 같이 표시됩니다.

 

 

이 SyncCrypt Ransomware를 해독하기 위해서는 약 $430가 필요합니다.
공격자가 피해자에게 몸값 지불 후 해독키를 받기 위해 키 파일을 제공하도록 지시합니다.

 

현재 분석된 공격의 일부로 사용되는 이메일 주소는 다음과 같습니다.
getmyfile@keemail.me, getmyfiles@scriptmail.com 및 getmyfiles@mail2tor.com 입니다.

 

이 Ransomware의 경우 Ransomware 탐지를 우회하는 능력 때문에 매우 효과적입니다.
실제로 해외의 VirusTotal의 58개 공급 업체 중 단 한 곳만 분석 당시 악성 이미지를 탐지 할 수

있었습니다.
반면 Sync.exe는 63개 중 28개의 탐지율을 보였습니다.

 

이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
– 윈도우 보안 업데이트를 최신버전으로 유지합니다.
– 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
– 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.
– 위의 사항은 위험을 줄이는 방식이며 완전하게 Ransomware의 위협에서 안전하다고 볼 수는 없습니다.
따라서 중요한 파일과 데이터는 따로 정기적으로 백업합니다.

 

이번시간에는 SyncCrypt Ransomware 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.