가짜 사진으로 데이터 와이퍼 멀웨어 설치 이슈

최근 사진인 것처럼 보이지만 하드 드라이브를 지우고, 데이터와 프로그램을 삭제하려는 의도로 보이는 멀웨어가 발견되었습니다. 이 멀웨어는 가짜 이미지로 시작하는 다중 구성요소 감염으로, 여러 파일을 드롭하여 악의적인 행동을 수행합니다.

 

감염 주기:

악성코드는 “SexyPhotos.jpg”라는 사진으로 도착합니다.

이것은 실제로 다음 파일을 삭제하는 자동 압축 해제 아카이브입니다.

• %temp%/avtstart.bat
• %temp%/del.exe
• %temp%/windll.exe
• %temp%/open.exe
• %temp%/windowss.exe

avtstart.bat를 실행하고 나머지 파일을 Startup에 추가함으로써 지속성을 확보합니다.

 

삭제된 다른 실행 파일은 모두 자동 압축 해제 아카이브 파일이며, 각각은 감염을 계속하기 위해 bat 파일과 vbs 파일을 삭제합니다.

각 파일은 다음과 같이 순차적으로 실행되었습니다.

 

Windowss.exe는 다음 파일을 삭제합니다.

• windowss.bat
• windowss.vbs
• readme.txt(몸값 통지서)

vbs 파일 windowss.vbs에는 wscript exe(스크립트를 실행하기 위한 Microsoft Windows 스크립트 호스트 유틸리티)를 사용하여 배치 파일 windowss.bat을 실행하는 간단한 명령어가 포함되어 있습니다.

 

그런 다음 이 배치 파일은 피해자의 시스템에 있는 모든 대상 파일의 이름을 "Locked_!counter!.Locked_fille"로 바꿉니다.

 

이 파일들은 랜섬웨어가 파일을 잠근 것처럼 암호화되어 보이지만, 아래 스크린샷과 같이 이름만 바뀌었을 뿐입니다.

 

Windll.exe는 다음 파일을 삭제합니다.

• windl.bat
• windll.vbs
• readme.txt(몸값 통지 사본)

이러한 파일은 vbs가 배치 파일을 실행하기 위해 wscript exe를 호출하는 경우에도 동일하게 실행되었습니다.

Windll.bat이 readme를 복사하고, txt를 잠긴 파일이 있는 디렉토리에 저장합니다.

 

그런 다음 Open.exe가 다음 파일을 삭제합니다.

• open.bat
• open.vbs
• open.txt

open.vbs 스크립트는 wscript를 다시 실행하여 open.bat를 실행합니다. 이번에 유일한 목적은 URL(현재 다운됨)을 열고 readme.txt를 여는 것입니다. 여기에는 비트코인 주소에 300달러 상당의 암호화폐를 지불하여 잠긴 것처럼 보이는 파일의 잠금을 해제하는 방법에 대한 지침이 포함되어 있습니다.

 

하지만 감염 주기는 여기서 끝이 났습니다. 그 후 원래 멀웨어는 "dell.exe"를 찾지만, 드롭된 파일의 이름이 "del.exe"이므로 사용할 수 없었으며, 철자가 틀리지 않았다면 감염은 계속되었을 것입니다.

대신 오류 메시지가 표시되었습니다.

 

Del.exe 파일은 다음 파일을 삭제해야 합니다.

• del.bat
• del.vbs
• del.txt

Del.vbs는 wscript exe를 사용하여 del.bat을 실행하고, 피해자의 컴퓨터를 삭제하여 드라이브 내의 모든 데이터를 삭제합니다.

 

 

랜섬웨어 감염 방지를 위해 사용자는 발신인이 부정확한 메일 확인을 지양하고, 의심스러운 첨부파일은 바로 삭제하여 데이터를 보호해야 합니다.