[랜섬웨어 분석] Maoloa 랜섬웨어 분석

꾸준히 발견되고 있는 Maoloa 랜섬웨어 감염 주의

 

1. 개요

올해 초, 처음으로 등장한 Maoloa 랜섬웨어는 다양한 변종이 출현하며 현재까지도 꾸준히 발견되고 있다. 최근 발견된 Maoloa 랜섬웨어는 이전에 비해 특정 서비스를 비활성화 시키며, 일부 폴더 및 파일을 제외하고 모든 확장자를 암호화 대상하기 때문에, 감염 되었을 경우 사용자의 피해가 클 것으로 예상된다.
이번 보고서에는 최근에 유포 되고 있는 Maoloa 랜섬웨어 대해서 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

2-3. 실행 과정

Maoloa 랜섬웨어 실행 시, 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에 등록한다. 이후 사용자가 시스템 복구 기능을 이용하지 못하도록 쉐도우 복사본 삭제 명령어를 실행 시킨 후 ‘.Rooster865qq’ 확장자를 추가하며 암호화를 진행한다. 암호화가 완료 된 후 [그림 1] 과 같이 랜섬노트를 통해 복호화 방법을 안내한다.
 

[그림 1] Maoloa 랜섬웨어 랜섬노트

 

3. 악성 동작

3-1. 레지스트리 변경

랜섬웨어 동작이 실행되면 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce’ 레지스트리에 ‘WindowsUpdateCheck’ 라는 이름으로 자신을 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
 

[그림 2] 자동 실행 등록

3-2. 시스템 복원 지점 삭제 및 서비스 종료

레지스트리 변경 후에 cmd명령을 통해 볼륨 쉐도우 복사본 삭제 명령어를 실행시키고, 데이터베이스와 관련된 특정 서비스를 비활성화 시킨다. 이는 사용자가 시스템 복원을 통해 암호화 이전 상태로 되돌리는 것을 막고, 암호화 작업을 좀 더 수월하게 진행하기 위한 동작으로 보인다.
 

[그림 3] 시스템 복원 지점 삭제 및 서비스 종료 실행

 

3-3. 파일 암호화

[표 1] 과 비교하여 암호화 제외 문자열이 들어간 폴더 및 파일을 제외하고, 모든 확장자를 대상으로 암호화를 진행한다.

[표 1] 암호화 제외 문자열

암호화가 진행되면 아래 [그림 4] 과 같이 ‘.Rooster865qqZ’ 확장자를 추가한다. 또한 암호화가 완료된 폴더에 ‘HOW TO BACK YOUR FIELS.exe’ 라는 이름의 랜섬노트를 생성한다.
 

[그림 4] 암호화 된 파일

 

4. 결론

이번 보고서에서 알아 본 Maoloa 랜섬웨어는 아직 정확한 유포 경로가 알려지지 않았지만, 최근에 국내에서도 발견되고 있는 만큼 사용자들은 항상 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면