꿈을꾸는 파랑새

최근 중국에서 시작해서 전 세계적으로 전염병이 유행하는 신종코로나(코로나 19, CoronaVirus)을 악용한 랜섬웨어가 다시 유포가 되기 시작을 했습니다. 해당 랜섬웨어는 특징은 가짜 웹 사이트를 통해 배포되어 WiseCleaner의 시스템 최적화 소프트웨어 및 유틸리티를 홍보하는 것이 특징입니다. 코로나 바이러스 (COVID-19)에 대한 두려움과 불안이 커지면서 공격자는 CoronaVirus Ransomware와 Kpot 정보 유출 트로이 목마로 구성된 악성 코드 칵테일을 배포하는 캠페인을 시작했습니다. 해당 공격자는 악성코드 배포를 위해 합법적인 윈도우 시스템 유틸리티 사이트인 WiseCleaner 으로 위장한 가짜 웹사이트를 생성합니다.
해당 사이트의 다운로드는 활성화되어 있지 않은 상태이며 코로나바이러스 랜섬웨어와 패스워드 스틸링 트로이 목마인 Kpot 다운로더 역할을 하는 WSHSetup.exe 파일이 배포가 진행되었습니다.
해당 프로그램이 실행되면 원격 웹사이트로부터 다양한 파일을 내려받으려 시도하며 현재 file 1. exe, file 2. exe만 다운로드 가능한 상태이며 그리고 나서 설치 프로그램이 다운로드 한 첫 번째 파일은 file 1. exe'이며 Kpot 비밀번호 스털링 트로이 목마이며 실행되면 웹 브라우저, 메시징 프로그램, VPN, FTP, 전자 메일 계정, Steam 및 Battle.net과 같은 게임 계정 및 기타 서비스에서 쿠키 및 로그인 자격 증명을 훔치려고 시도를 하며 해당 악성 코드는 활성 데스크톱의 스크린 샷을 찍고 감염된 컴퓨터에 저장된 암호 화폐 지갑을 훔치려고 시도하며 그런 다음 정보는 공격자가 운영하는 원격 사이트에 업로드 시도됩니다. 두 번째 파일은 file 2. exe는 컴퓨터의 파일을 암호화하는 데 사용되는 CoronaVirus Ransomware입니다.그리고 나서 암호화를 시도하는 파일은 다음과 같습니다.

WiseCleaner 시스템 최적화 소프트웨어 및 유틸리티 사칭 신종코로나 랜섬웨어(CoronaVirus Ransomware)WiseCleaner 시스템 최적화 소프트웨어 및 유틸리티 사칭 신종코로나 랜섬웨어(CoronaVirus Ransomware)

.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
암호화된 파일은 같은 확장자를 계속 사용하도록 이름이 바뀌지만, 파일 이름은 공격자의 전자 메일 주소로 변경됩니다. 예를 들어서 test.jpg는 암호화되어 이름이 coronaVi2022@protonmail.ch___1.jpg로 변경이 됩니다.
암호화되고 데스크톱에 있는 각 폴더에서 CoronaVirus.txt라는 몸값이 생성되어 bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j의 하드 코딩된 비트 코인 주소에 0.008 ($50) 비트 코인을 요구하는 랜섬 노트가 생성되며 결제를 유도합니다.
해당 랜섬웨어는 C: 드라이브의 이름을 CoronaVirus로 변경하며 피해자를 놀라게 할 목적인 것으로 보입니다. 그리고 재부팅 후에는 아래와 같이 윈도우가 로딩되기 전 랜섬노트와 같은 내용이 화면에 표시됩니다.
Vitali Kremez는 공격자가 화면을 표시하기 위해 부팅 시 윈도우 서비스를 로드하기 전 %Temp% 폴더에서 실행 파일을 실행하는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "BootExecute" 레지스트리 값을 변경하는 방식을 사용합니다.
45분 후 잠금 화면의 메시지가 변경됩니다. 하지만, 여전히 시스템으로 다시 돌아가기 위한 코드를 입력할 수는 없는 상태이며 15분 후 이는 윈도우로 다시 부팅되며 로그인 시 CoronaVirus.txt 랜섬노트를 표시합니다.
비교적 낮은 랜섬머니를 요구하며 정적 비트코인 주소를 사용하며 정치적인 메시지를 표시하는 것이 특징입니다. 아마도 해당 내용으로 볼 때 이 랜섬웨어는 금전이 목적이 아닌 Kpot 감염의 껍데기 역할을 담당하는 것으로 의심됩니다.

랜섬노트 내용랜섬노트 내용

랜섬노트는 다음과 같습니다.
CORONAVIRUS is there All your file are crypted. Your computer is temporarily blocked on several levels. Applying strong military secret encryption algorithm. To assist in decrypting your files, you must do the following: 1. Pay 0.008 btc to Bitcoin wallet bc1q8r42fm7kwg68dts3w70qah79n5emt5m76rus5u or purchase the receipt Bitcoin; 2. Contact us by e-mail: and tell us this your unique ID: 94C492AD07F35492DA90CAAA25986929 and send the link to Bitcoin transaction generated or Bitcoin check number. After all this, you get in your email the following: 1. Instructions and software to unlock your computer 2. Program - decryptor of your files. Donations to the US presidential elections are accepted around the clock. Desine sperare qui hic intras! [Wait to payment timeout 25 - 40 min]
입니다. 여기서 보면 US presidential elections(미국 대통령 선거) 관련 문구가 들어가 져 있는 것 보니 은근히 정치적 목적이 있는 것 같습니다. 일단 이런 사회적 공학적 공격을 사용하면 랜섬웨어등을 유포를 하고 있으니까 이런 악성코드에 감염되지 않게 조심을 하시는 것이 좋습니다.
각각 해시 값은 다음과 같습니다.
Installer: 5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed
Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot:a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
관련 파일: CoronaVirus.txt
관련 이메일 :coronaVi2022@protonmail.ch
입니다.protonmail.ch 메일 즉 추적을 피하고자 보안 메일을 사용하고 있습니다. 그리고 MBR 영역도 건드리고 있으니까 지난 시간에 소개해 드린 프로그램을 MBR 영역을 보호하거나 랜섬웨어 보호 프로그램인 앱체크 같은 프로그램을 사용해서 보호를 받으시는 것도 좋은 방법이라고 생각이 됩니다. 그리고 코로나 19 바이러스가 점점 퍼지고 있으니 이런 악성프로그램이나 피싱사이트들이 생길 것입니다. 항상 조심해야 합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band