Quick Heal Security Labs는 몇 달 동안 .NET 프레임워크 기반으로 구축된 랜섬웨어의 증가를 관찰해 왔습니다. 샘 샘, 라임 그리고 이제 Shrug가 .NET 프레임워크로 개발된 것으로 밝혀졌습니다. 맬웨어 개발자들은 다른 컴파일러로 맬웨어를 만드는 대신 .NET 프레임워크에서 맬웨어를 개발하고 난독화하는 것이 매우 쉽다는 것을 알게 되었습니다.
Quick Heal Security Labs에서 새로운 랜섬웨어를 발견했습니다. 어깨를 으쓱2이 랜섬웨어는 파일 암호를 해독하는 대가로 비트코인 형태로 70달러의 몸값을 요구합니다.
이 랜섬웨어의 감염 경로는 아직 알려지지 않았지만, 이 파일은 피싱 이메일, RDP 무차별 대입 공격, 악성 광고, 다른 파일과 함께 전송되는 등의 방식으로 피해자의 컴퓨터에 도착할 수 있습니다.
기술 분석
이 랜섬웨어는 파일 암호화를 시작하기 전에 다음 URL에 연결을 시도하여 무한 루프로 활성 인터넷 연결을 확인합니다.
"hxxp://클라이언트3[.]구글[.]com/generate_204"
피해자의 시스템에서 활성 인터넷 연결이 발견되면 시스템이 이전에 "에 감염되었는지 확인합니다.어깨2”아래 레지스트리 항목을 확인하여:
"HKCU\ShrugTwo"
시스템이 감염되지 않은 경우 이름이 "인 하위 키가 생성됩니다.어깨를 으쓱하다" 아래에 Hkcu 그리고 그림 3에 표시된 대로 각각의 값을 추가합니다.
확인: 로그인한 사용자의 사용자 이름에 10000~99999 사이의 무작위로 생성된 숫자를 추가하여 생성됩니다.
예 : 사용자 이름/25413
설치 날짜: 랜섬웨어가 피해자 시스템을 감염시킨 날짜와 시간입니다. 이 날짜와 시간은 랜섬웨어가 파일 복호화에 남은 시간을 표시하는 데 사용됩니다(그림 15 참조).
크라이키: 파일을 암호화하는 데 사용되는 무작위로 생성된 AES256비트 키입니다.
크라이IV : 파일을 암호화하는 데 사용되는 무작위로 생성된 초기화 벡터입니다.
이후, 악성코드는 아래 명령을 실행하여 %CD% 디렉터리 및 하위 디렉터리에 대한 모든 권한을 부여합니다. 이 명령은 WannaCry 랜섬웨어에서도 사용된 것으로 확인되었습니다.
icacls . /grant 모두에게:F /티 /씨 /큐
모든 랜섬웨어가 그렇듯이, 이 랜섬웨어는 피해자 시스템의 복원 지점도 삭제합니다. 이를 위해 다음과 같은 간단한 랜섬웨어 복원 지점 삭제 방법을 사용하지 않습니다.
vssadmin 삭제 섀도우 /all /quiet 및 wmic 섀도우 복사 삭제
오히려 그것은 매우 흔하지 않은 기술을 사용합니다. srclient.SRRemoveRestorePoint 다음과 같이 :
이 랜섬웨어는 약 76개의 확장자를 가진 파일을 암호화합니다. 확장자 목록은 다음과 같습니다.
“txt, .docx, .xls, .doc, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .jpeg, .csv, .mdb, .db, .sln, .html, .php, .asp, .aspx, .html, .xml, .json, .dat, .cpp, .cs, .c, .js, .java, .mp4, .ogg, .mp3, .wmv, .avi, .gif, .mpeg, .msi, .rar, .7zip, .z, .apk, .yml, .qml, .py3, .aif, .cda, .mpa, .wpl, .mid, .pkg, .deb, .arj, .rpm, .gz, .dbf, .yml, .tar, .pl, .rb, .ico, .tif, .asp, .xhtml, .rss, .jsp, .htm, .o, .zip, .midi, .tiff, .tiff, .midi, .zip, .tar.gz, .pyw, .bmp, .sql, .psd, .7z”
랜섬웨어는 C:\\ 드라이브에만 존재하는 위의 확장자를 가진 모든 파일을 열거하고 이를 "파일투해름”. 이 목록은 나중에 파일 암호화에 사용됩니다.
비슷한 종류의 목록도 "라는 이름으로 생성됩니다.해메드파일" 여기에는 확장자가 ". "인 암호화된 파일의 파일 경로가 포함되어 있습니다.어깨2”, 요구된 몸값이 지불되거나 파일 복호화 시간이 경과했을 때. 이렇게 생성된 목록은 파일 복호화 또는 삭제에 사용됩니다.
이 랜섬웨어는 AES256 알고리즘을 사용합니다. CBC(암호 블록 체인) 열거형 파일을 암호화하는 모드입니다. 이 유형의 모드에서는 다음이 필요합니다. 키 함께 초기화 벡터(IV).
그림 10에 표시된 코드는 아래 목록을 만드는 데 사용되며, 이 중 32개의 문자를 무작위로 선택하여 AES 256비트 키로 사용합니다.
"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
마찬가지로, 그림 11에 표시된 코드는 아래 목록을 만드는 데 사용되며, 이 중에서 무작위로 16개의 문자를 선택하여 AES 128비트 IV로 사용됩니다.
"ZYXWVUTSRQPONMLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba9876543210"
이전에 생성된 키와 IV는 "에 있는 파일 경로를 암호화하는 데 사용됩니다.파일투해름" 목록. 랜섬웨어가 ".슈러그2" 확장자 암호화 후 파일로.
랜섬웨어는 파일을 암호화하기 위해 128비트 단위로 파일 데이터를 선택합니다. 이 데이터 조각은 CBC 모드에서 이전에 생성된 키와 IV를 사용하여 암호화됩니다.
목록에 있는 모든 파일이 "파일투해름” 암호화되어 있으며, 이 랜섬웨어는 식별자, 설치 날짜, cryKey, cryIV와 같은 생성된 모든 정보를 파일 내에 있는 아래의 CnC URL로 전송합니다.
hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/uphash[.]php
그런 다음 랜섬웨어는 바탕 화면에 "라는 이름의 바로 가기를 만듭니다.@ShrugDecryptor@”. 이 단축키의 이름은 피해자를 속이기 위해 주어졌습니다.
바로가기를 만든 후에는 랜섬웨어 작성자의 비트코인 지갑 주소와 함께 파일 암호를 해독하는 데 남은 시간이 포함된 랜섬웨어 메모가 아래에 표시됩니다.
랜섬웨어는 파일 암호화 외에도 파일 암호 해독 및 파일 삭제와 같은 다른 활동도 수행할 수 있습니다.
악성코드 제작자에게 비트코인 형태의 몸값을 지갑 주소로 지불하면 파일이 복호화됩니다.1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx".
지정된 기간 내에 몸값을 지불하지 않으면 암호화된 모든 파일이 삭제됩니다.
암호화된 파일을 성공적으로 삭제한 후, 이 랜섬웨어는 모든 흔적을 삭제합니다. DeleteSubKey는 레지스트리를 삭제합니다.HKCU\ShrugTwo” 그리고 자신을 삭제하는 프로세스를 만듭니다.
손상의 지표:
MD5: 04112aec47401c3d91a92cfdf9de02e6
레지스트리: HKCU\ShrugTwo
비트코인 지갑 주소: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
URL :
hxxp://clients3[.]google[.]com/generate_204
hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/upoldhash[.]php
빠른 치유 Shrug2 랜섬웨어를 "로 성공적으로 감지했습니다.랜섬.어깨.ZZ1"
예방 요령
- 중요한 데이터는 HDD, 펜 드라이브 또는 클라우드 스토리지와 같은 외장 드라이브에 정기적으로 백업하세요.
- 바이러스 백신 프로그램을 설치하고 최신 상태로 유지하세요.
- 운영체제와 소프트웨어를 최신 상태로 유지하세요.
- 알 수 없거나 원치 않는 출처의 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요.
주제 전문가
피유시 반살, 프라틱 파치포르 | 퀵힐 시큐리티 랩스
