JCry – Golang으로 작성된 랜섬웨어!

QH Labs는 몇 달 동안 랜섬웨어 활동이 급증하는 것을 관찰해 왔습니다. Go 언어로 작성된 새로운 랜섬웨어를 발견했습니다. 악성코드 작성자들은 랜섬 기존 프로그래밍 언어 대신 Go 언어로 개발되었습니다.

Jcry 랜섬웨어 감염은 손상된 웹사이트에서 시작됩니다.

위 이미지에서 볼 수 있듯이, 악성코드 제작자는 Adobe Flash Player 업데이트로 위장하여 사용자로 가장하고 사용자 컴퓨터에 악성코드를 다운로드하려고 시도합니다. 그림 1은 감염된 도메인에 호스팅된 자바스크립트의 일부를 포함하고 있으며, 이 스크립트는 지정된 URL에서 악성 파일을 다운로드합니다. 사칭된 사용자가 "업데이트" 버튼을 클릭하고 Flash Player를 업데이트하려는 악성 파일을 실행할 때마다 악성코드가 실행되기 시작합니다.

실행 흐름:

기술적 분석 :

다운로드된 악성코드(flashplayer_install.exe)는 자동 압축 해제 파일입니다. 실행 시 아래 언급된 구성 요소를 "시작" 디렉터리에 압축 해제하여 영구적으로 저장합니다.

구성 요소 :

1. 메시지.vbs
2. Enc.exe
3. Dec.exe

위 그림에서 언급된 것처럼 맬웨어는 구성 요소를 추출하고 enc.exe(암호화기)와 함께 msg.vbs를 시작합니다.

메시지.vbs:

이 파일은 시스템이 Adobe Flash Player를 업데이트하려고 했지만 사용자의 액세스가 거부된 사용자를 사칭하는 데 사용됩니다.

Enc.exe(암호화기):

이 실행 파일은 파일 암호화를 담당하며 Go 언어로 작성되었습니다.

실행 시, 먼저 현재 디렉터리에 "personalKey.txt" 파일이 있는지 확인하여 시스템이 이미 감염되었는지 확인합니다. 파일이 존재하면 맬웨어는 시스템이 이미 감염되었다고 판단하고 스스로 종료합니다. 또한, 복호화 파일을 이용하여 msg.vbs와 Enc.exe 파일을 삭제합니다. 암호화 과정에서는 AES와 RSA 알고리즘을 함께 사용합니다. 파일 암호화는 CBC 모드에서 128바이트 초기화 벡터를 사용하는 AES 16비트 알고리즘을 사용하여 수행됩니다. 하드코딩된 RSA 공개 키는 enc.exe 파일에서 발견되며, 이는 나중에 AES 키 암호화에 사용됩니다.

 

아래에 나열된 138개의 확장자 파일을 암호화합니다.

3dm, 3ds, 3g2, 3gp, 7z, ai, aif, apk, 앱, asf, asp, avi, b, bak, bin, bmp, c, cbr, cer, cfg, cfm, cgi, cpp, crx, cs, csr, css, csv, cue, dat, db, dbf, dcr, dds, deb, dem, der, dmg, dmp, doc, dtd, dwg, dxf, eps, fla, flv, fnt, fon, gam, ged, gif, gpx, gz, h, hqx, htm, ics, iff, iso, jar, jpg, js, jsp, key, kml, kmz, log, lua, m, m3u, m4a, m4v, max, mdb, mdf, mid, mim, mov, mp3, mp4, mpa, mpg, msg, msi, nes, obj, odt, otf, pct, pdb, pdf, php, pkg, pl, png, pps, ppt, ps, psd, py, rar, rm, rom, rpm, rss, rtf, sav, sdf, sh, sln, sql, srt, svg, swf, tar, tex, tga, thm, tif, tmp, ttf, txt, uue, vb, vcd, vcf, vob, wav, wma, wmv, wpd, wps, wsf, xlr, xls, xml, yuv, zip”

암호화 속도를 높이기 위해 1MB가 넘는 파일의 경우 1MB 데이터만 암호화합니다. 파일 암호화가 완료되면 파일 이름에 ".jcry" 확장자가 추가됩니다.

파일을 암호화한 후 아래 명령을 사용하여 모든 섀도 복사본을 삭제합니다.

                                                                  "vssadmin delete shadows /all"

Powershell 명령을 사용하여 Dec.exe를 실행합니다.

Dec.exe:

Dec.exe를 실행하면 먼저 enc.exe가 종료되고 삭제됩니다. Dec.exe는 복호화 키(RSA 개인 키)를 요청하는 콘솔 애플리케이션입니다. 유효한 키를 입력하면 암호화된 파일을 복호화할 수 있습니다.

또한 데스크톱 위치에 랜섬웨어 메시지를 남깁니다. 암호화된 파일을 복구하기 위해 500달러의 랜섬웨어를 요구하며, 감염된 사용자에게 지불 후 개인 키를 제공하는 Onion 링크(hxxp://kpx5wgcda7ezqjty.onion)를 제공합니다.

 

IOC:

flashplayer_install.exe: c86c75804435efc380d7fc436e344898
Enc.exe : 5B640BE895C03F0D7F4E8AB7A1D82947
Dec.exe : 6B4ED5D3FDFEFA2A14635C177EA2C30D
복구 링크: hxxp://kpx5wgcda7ezqjty.onion
지갑 ID: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

 

예방 팁 :

1. 중요한 데이터는 HDD, 펜 드라이브 또는 클라우드 스토리지와 같은 외장 드라이브에 정기적으로 백업하세요.
2. 바이러스 백신 프로그램을 설치하고 최신 상태로 유지하세요.
3. 운영체제와 소프트웨어를 최신 상태로 유지하세요.
4. 알 수 없거나 원치 않는 출처의 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요.

주제 전문가:

Nagesh lathakar, Pratik Pachpor | Quick Heal 보안 연구소