보안정보

글로벌 정보보안 리더 윈스

Vovalex는 D로 작성된 최초의 랜섬웨어일 것이다

침해사고분석팀 2021.02.01

랜섬웨어

 

 

Vovalex라고 불리는 새로운 랜섬웨어는 CCleaner와 같은 인기 있는 윈도우 유틸리티를 가장한 불법 복제 소프트웨어를 통해 배포되고 있다.

 

모든 랜섬웨어 감염은 기기의 파일을 암호화한 다음 어떤 형태로든 지불을 요구하는 랜섬 노트를 보여주는 기능으로 요약된다.

 

Vovalex도 다르지 않지만, D로 작성된 최초의 랜섬웨어일 가능성이 있다는 것이다.

 

 

[그림1. Vovalex 랜섬웨어를 발견한 연구원의 트위터]

 

 

D 웹사이트에 따르면, Dlang은 C++에서 영감을 얻었지만 다른 언어의 구성 요소들을 공유한다.

 

"D는 수십 년 동안 다양한 언어에 대한 컴파일러를 구현하고 이러한 언어를 사용하여 대규모 프로젝트를 시도한 경험의 정점입니다. D는 다른 언어들(특히 C++)에서 영감을 얻고 경험과 현실세계의 실용성으로 그것을 자극한다"라고 D 웹사이트는 말한다.

 

멀웨어 개발자들은 일반적으로 Dlang을 사용하지 않기 때문에, Kremez는 공격자가 보안 소프트웨어를 사용하여 탐지를 우회하고 있다고 생각한다.

 

 

Vovalex는 불법 복제 소프트웨어로 배포된다

 

Bleeping Computer가 분석한 공유 샘플은 CCleaner Windows 유틸리티의 warez 복사본으로 배포된다.

 

실행되면 랜섬웨어는 합법적 인 CCleaner 설치 프로그램을 시작하고 %Temp% 폴더의 임의 파일 이름에 자신을 복사한다.

 

 

[그림2. CCleaner 설치 프로그램]

 

 

랜섬웨어는 드라이브의 파일을 암호화하기 시작하고 암호화 된 파일 이름에 .vovalex 확장자를 추가한다.

 

 

[그림3. Vovalex 암호화 파일]

 

 

완료되면 랜섬웨어는 데스크톱에 README.VOVALEX.txt 라는 이름의 랜섬 노트를 생성하여 암호 해독기를 검색하기 위해 0.5 XMR (Monero)을 요청한다. 이 금액은 현재 가격으로 약 $ 69.54이다.

 

현재 연구원이 랜섬웨어를 무료로 해독 할 수 있는지 여부는 알려지지 않았다.

 

Vovalex는 현재 널리 배포되지 않았으며, 위협 행위자가 STOP 랜섬웨어의 유통되는 방식과 유사한 가짜 크랙 사이트와 애드웨어 번들과 파트너 관계를 맺으면 더 큰 문제가 발생할 수 있다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/vovalex-is-likely-the-first-ransomware-written-in-d/