Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보새롭게 등장한 Conti 랜섬웨어
작성일 2020-07-24 조회 638

1. 개요

Conti 랜섬웨어의 유포가 꾸준히 증가하고 있다. Conti 랜섬웨어는 최대 32개의 암호화 스레드를 생성하여 빠르게 사용자의 파일을 암호화하는 특징이 있다. 또한, 볼륨 섀도우와 백업파일이 삭제하여 복구가 어렵게 하고, 암호화된 파일을 복호화하는 방법이 현재 존재하지 않아 사용자의 각별한 주의가 필요하다.

 

 

랜섬노트

[그림 1] 랜섬노트 - CONTI_README.txt

 

 

 

2. 악성행위

Conti 랜섬웨어에서 사용되는 대부분의 스트링은 암호화되어있으며, 악성코드가 실행되는 초반이나 스트링을 사용하기 직전에 복호화를 진행한다. 복호화 루틴에서 사용되는 값은 대상에 따라 약간의 차이가 있다.

 

 

스트링 복호화

[그림 2] 스트링 복호화

 

스트링 복호화 루틴

[그림 3] 스트링 복호화 루틴

 

 

 

랜섬웨어의 중복 실행을 방지하기 위해 '_Conti_'라는 이름으로 뮤텍스를 생성한다.

 

 

뮤텍스 생성

[그림 4] 뮤텍스 생성

 

 

 

파일 암호화 이후 백업본을 통한 시스템 복구를 막기 위해 C부터 H드라이브까지의 볼륨 섀도우와 백업파일을 삭제한다.

 

 

볼륨 섀도우 삭제

[그림 5] 볼륨 섀도우 삭제

 

 

 

원활한 파일 암호화를 위해 데이터베이스, 백업 등과 관련된 서비스를 중지한다. 그리고 현재 실행 중인 프로세스 이름을 확인하여 'sql' 문자열을 포함하고 있는 프로세스를 종료한다.

 

 

SQL 관련 프로세스 종료

[그림 6] SQL 관련 프로세스 종료

 

 

 

암호화 대상 파일이 존재하는 디렉터리에 랜섬노트 'CONTI_README.txt'를 생성하여, 파일 복호화를 위해 작성된 공격자의 이메일로 연락할 것을 요구한다. 그리고 일부 디렉터리와 확장자를 제외한 모든 파일을 암호화한다. 이때, 최대 32개의 암호화 스레드를 생성하여 빠르게 파일을 암호화한다.

 

 

감염제외 디렉터리
tmp, winnt, Application Data, AppData, temp, thumb, $Recycle Bin, $RECYCLE BIN, System Volume Information, Program Files, Program Files (x86), Boot, Windows

 

감염제외 확장자
exe, dll, lnk, sys, CONTI

 

파일 암호화 전과 후

[그림 7] 파임 암호화 전(위)과 후(아래)

 

파일 암호화

[그림 8] 파일 암호화

 

 

 

3. APTX 탐지

현재 윈스의 현재 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

APTX 분석 보고서

[그림 9] APTX 탐지/분석 보고서

 

 

 

4. IOC

Conti 랜섬웨어
6748dfe8e64dea2fc4c14691f7e766c6
b7b5e1253710d8927cbe07d52d2d2e10
19ac3de21c70e04c45c51163137fcbdd
26a83234b554e55ed2adc570c203a54f
b485c36f28c5c967a50001c9e8d2c29c

 

 

첨부파일 첨부파일이 없습니다.
태그 Ransomware  Conti  .CONTI  CONTI_README.txt