입사지원서를 위장해서 제작된 랜섬웨어-소디노키비 랜섬웨어(Sodinokibi Ransomware,2019.8.13)

꿈을꾸는 파랑새

오늘은 입사지원서를 위장해서 제작된 랜섬웨어인 소디노키비 랜섬웨어(Sodinokibi Ransomware)에 대해 알아보겠습니다. 일단 해당 랜섬웨어는 최근에 나온 소디노키비 랜섬웨어(Sodinokibi Ransomware)변종으로서 이번에는 악성코드가 파일 공유 서버가 구축된 것이 확인되었는데 이 서버 내에는 이명박 이력서.doc.bat,이명박 이력서.doc.bat,갠드 - 복사본.js,갠드.exe 등이 베리즈웹쉐어(BerryzWebShare) 파일 공유 서버에 들어가 져 있는 것이 특징입니다.
일단 해당 비너스락커(VenusLocker)이 유포를 하고 있으며 과거에는 지메일이나 실제로 호스팅을 구축해서 메일을 보냈는데 최근에는 KT 등 한국 아이피에서 발송하는 것이 특징입니다.
악성메일에서는 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"로 작성된 것이 특징입니다. 메일에 첨부된 압축 파일은 7z로 압축된 것이 특징입니다. 메일을 받은 사용자가 입사지원서 파일을 해당 압축파일을 해제하면 PDF 파일로 위장한 악성 실행파일이 들어 있는 것이 특징이며 두 파일 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도하였습니다. 즉 아이콘은 PDF 파일 아이콘이지만 실제 파일확장자는 다른 방식으로 해서 사용자를 속이는 방법입니다.
압축 파일에는 다음 파일이 속해져 있습니다.

이력서.pdf 공백- 복사본.exe MD5:DA2325D02EA2D574E0D4098E2A019D2B
포트폴리오.pdf 공백.exe MD5:DA2325D02EA2D574E0D4098E2A019D2B
해당 PDF, HWP 문서파일을 입사 지원서 파일로 착각해 실행하면 특정 C2 서버를 통해 Sodinokibi 랜섬웨어를 다운로드 하고 실행하여 피해자 시스템의 주요 파일들을 암호화합니다.
123.exe MD5:d331fa3ca4657dc39e6206110ab9fcc4
입니다.

앞서 이야기한 것처럼 해외 C2 서버에 한국어 버전의 베리즈웹쉐어(BerryzWebShare) 파일 공유 서버가 구축돼 있으며 해당 서버 내에는 이명박 이력서.doc.bat, 이명박 이력서.doc.bat, 갠드 - 복사본.js,갠드.exe이 포함이 돼 있으며 발견된 파일명을 잘 살펴보면 -복사본.exe 이라는 파일명이 붙여진 것을 확인할 수가 있으며 해당 랜섬웨어 제작자인 공격자가 한국어 윈도우 운영체제를 쓰고 있다고 추측할 수가 있습니다.


베리즈웹쉐어(BerryzWebShare) 포함된 악성코드베리즈웹쉐어(BerryzWebShare) 포함된 악성코드

기존까지는 이메일에 소디노키비 랜섬웨어를 직접 첨부해 유포한다며 이번에 발견된 랜섬웨어일 경우 먼저 브라우저에 저장된 쿠키 값과 암호화폐 지갑 관련 정보를 수집하는 기능을 수행하고 소디노키비 랜섬웨어(Sodinokibi Ransomware)를 추가로 설치한다는 점입니다.
IP 트래픽
10.0.66.8:13X (UDP)
레지스터리 부분은 수정 부분은 다음과 같습니다.


HKLM\SOFTWARE\Wow6432Node\QtProject\OrganizationDefaults
HKLM\SOFTWARE\Wow6432Node\QtProject
HKLM\Software\Wow6432Node\Microsoft\WBEM\CIMOM
\REGISTRY\A\{90c7f976-9406-11e9-a247-6cda740a3e42}\DefaultObjectStore\ObjectTable\E9
\REGISTRY\A\{90c7f976-9406-11e9-a247-6cda740a3e42}\DefaultObjectStore\LruList\00000000000002FD
\REGISTRY\A\{90c7f976-9406-11e9-a247-6cda740a3e42}\DefaultObjectStore\IndexTable\FileIdIndex-{c84d25cd-f368-11e4-889d-806e6f6e6963}\4000000014FB4

소디노키비 랜섬웨어 랜섬 노트소디노키비 랜섬웨어 랜섬 노트

\REGISTRY\A\{90c7f976-9406-11e9-a247-6cda740a3e42}\DefaultObjectStore\ObjectTable\E9\Indexes
\REGISTRY\A\{90c7f976-9406-11e9-a247-6cda740a3e42}\DefaultObjectStore\ObjectTable\E9\Indexes\FileIdIndex-{c84d25cd-f368-11e4-889d-806e6f6e6963}
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
HKLM\SYSTEM\CURRENTCONTROLSET\Control\Class\{4d36e96a-e325-11ce-bfc1-08002be10318}\0005
입니다. 일단 해당 랜섬웨어에 감염이 되지 않으려면 기본적으로 보안 수칙을 잘 지켜주는 것이 중요하면 특히 보안 업데이트는 기본적으로 충실하게 하며 그리고 보안 업데이트를 했다고 하지만 출처가 불분명한 파일들은 실행하는 것은 최소화하는 것이 안전하게 컴퓨터를 사용하는 것이 안전합니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.08.16 06:58 신고

    늘 확인하고 또 확인해야 갈 거 같아요 덕분에 잘 알고 갑니다

    • Favicon of https://wezard4u.tistory.com Sakai 2019.08.18 17:53 신고

      윈도우 보안 업데이트 와 출처가 불분명한 사이트 등에서 프로그램을 설치하지 않는등 기본적인 보안 수칙을 지켜주기만 해도 감염을 최소화 할수가 있습니다.

  2. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.08.16 07:34 신고

    조심해야겠습니다..

  3. Favicon of https://kangdante.tistory.com kangdante 2019.08.16 08:12 신고

    랜섬웨어에 대해 배우고 갑니다
    오늘도 여유롭고 시원한 하루되세요.. ^^

  4. Favicon of https://bubleprice.net 버블프라이스 2019.08.17 02:53 신고

    늘 확인하고 또 확인해야겠군요, 잘보고 갑니다.