악성 메일로 유포되는 토토 추천 2.1 랜섬웨어 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 악성 토토 추천을통해토토 추천 2.1 버전의 랜섬웨어가 유포되고 있어 주의를 당부드립니다.

이번에 발견된 악성 메일은 기존 토토 추천 2.0을 유포한 악성 메일과 거의 유사하게 '창작물 무단 이용에 대한 이미지 파일을확인' 내용으로 첨부 파일 실행을 유도합니다.

[그림 1] 창작물 저작권 침해 악성 토토 추천 내용

첨부파일에는 'white.exe', '1.원본이미지_180408.jpg.lnk', '2.사용이미지_180408.jpg.lnk', '3.사이트 링크정리_180408.doc.lnk'가 있습니다.만일 이용자가 이미지나 링크를 보기 위해 바로가기 파일을 클릭 할 경우 'white.exe' 실행 파일이 실행됩니다.

[그림 2] 이토토 추천에 첨부된 파일

실행되는 white.exe 실행 파일은 토토 추천 2.1 랜섬웨어로서, 기존 GandCarb 2.0 랜섬웨어와대부분 동일하지만 일부 달라진 점이 있습니다.

첫 번째로, 자가 복제된 경로(%APPDATA%\Microsoft\)가 아닌 경우 파일암호화 완료 뒤 시스템을 강제 종료하는 기능이 추가되었습니다. 즉, 토토 추천 최초 실행시 시스템이 한 차례 재부팅이 됩니다.

[그림 3] 자가복제된 경로가 아닌 경우 시스템 재부팅

두 번째로는 토토 추천 2.0 버전에는 암호화가 끝난 파일 뒤에 '.CRAB'를 추가하였지만, 이번 버전에는 파일 암호화 전에 암호화 대상 파일 뒤에 '.CRAB'를 추가합니다.

[그림 4] 파일 암호화 전 '.CRAB' 확장명 추가

세 번째로는, C&C에 시스템 정보 전송 간 '버전 정보'로 보여지는 고정값이 변경되었습니다. 토토 추천 2.0에서는 '&version=1.2.5'가 고정값이었지만, 이번 버전에서는 '&version=2.3.1'로 변경되었습니다.

[그림 5] 토토 추천 2.1에서 버전 정보로 보이는 값 변경

그리고 이번 버전에서C&C IP를 얻기 위해 다음의 도메인들이사용되었습니다.

[표 1] 토토 추천 2.1에서 사용하는 호스트와 서버 도메인

마지막으로 토토 추천 2.1 랜섬노트에서 버전이 'V2.1'로 바뀌었습니다.

[그림 6] 토토 추천 2.1 버전 랜섬노트

따라서 이러한 유형의 공격으로부터 토토 추천에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.

현재 알약에서는 관련 샘플들을'Trojan.Agent.LNK.Gen', 'Trojan.Ransom.토토 추천'로 진단하고 있습니다.