Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보CovidWorldCry 랜섬웨어 유포
작성일 2020-05-29 조회 753

1. 개요

최근 코로나19 바이러스와 관련된 다양한 악성코드가 유포되고 있다. 그 중 Rig Exploit Kit를 통해 유포되고 있는 CovidWorldCry 랜섬웨어가 새롭게 발견되었다.

 

 

MD5 : 54286d85e76477d192a276665ba58ff8
파일 크기 : 483,840 Bytes
특징 : 파일 암호화

 

 

 

2. 악성 행위

CovidWorldCry 랜섬웨어는 볼륨 섀도우나 백업 파일 등을 삭제하여 복구할 수 없도록 하고, 암호화에 방해되는 프로세스 및 서비스 종료를 시도한다. 이 후, ChaCha 알고리즘과 AES 알고리즘을 이용하여 원본 파일을 암호화하며, 확장자를 '.corona-lock'으로 변경한다. 그리고 바탕화면에는 공격자의 이메일 주소와 감염 PC의 식별 ID를 포함한 'README_LOCK.TXT' 파일명으로 랜섬노트를 생성한다.

 

 

CovidWorldCry 랜섬웨어 - 랜섬노트

[ 그림 1 ] 랜섬 노트

 

 


2.1. 백업 데이터 삭제

암호화 이후 백업본을 통한 파일 및 시스템 복구를 막기 위해 휴지통을 비우고, C부터 H 드라이브까지의 볼륨 섀도우와 백업파일을 삭제한다. 그리고 Windows 복구 모드를 비활성화로 변경한다.

 

 

CovidWorldCry 랜섬웨어 - 복구 데이터 삭제

[ 표1 ] 백업 데이터 삭제 명령

 

 

 

2.2. 프로세스 및 서비스 종료

파일 암호화를 진행할 때 충동을 막기 위해 현재 실행 중인 프로세스와 서비스 목록을 확인하고, 아래의 프로세스와 서비스 종료를 시도한다.

 

 

CovidWorldCry 랜섬웨어 - 프로세스 및 서비스 종료 리스트

[ 표 2 ] 프로세스 및 서비스 종료 목록

 

 

2.3. 자동 실행 등록

암호화 이전에 'MSFEEditor'라는 이름으로 레지스트리에 자동 실행 등록을 하여 시스템이 재부팅 되어도 랜섬웨어 행위가 지속되도록 한다.

 

 

CovidWorldCry 랜섬웨어 - 자동실행등록

[ 그림 2 ] 자동 실행 등록

 

 

 

 

2.4. 파일 암호화
감염 PC에 존재하는 모든 드라이브를 탐색하여 일부 디렉터리와 확장자를 제외하고 ChaCha 알고리즘과 AES 알고리즘을 활용하여 암호화를 시도한다.

 

 

CovidWorldCry 랜섬웨어 - 파일 암호화

[ 그림 3 ] 암호화된 파일 전(위)과 후(아래)

 

 

CovidWorldCry 랜섬웨어 - 암호화 예외 디렉토리 및 확장자

[ 표 3 ] 암호화 제외 디렉터리 및 확장자 목록

 

 

바탕화면에 생성된 랜섬노트 'README_LOCK.TXT'에 암호화된 파일이 기록된다. 그리고 파일 암호화가 완료되면, Command 명령을 통해 현재 실행 파일을 삭제한다.

 

 

 

3. 탐지현황

현재 윈스의 현재 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

CovidWorldCry 랜섬웨어 - APTX SNIPER 탐지 결과

[ 그림 4 ] APTX 탐지/분석 보고서

 

첨부파일 첨부파일이 없습니다.
태그 CovidWorldCry  랜섬웨어  Corona19  Rig Exploit Kit