분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Matrix 랜섬웨어

TACHYON & ISARC 2021. 1. 25. 16:58


1월 초, 파일을 드롭하여 악성동작을 하는 Matrix 랜섬웨어가 등장하였다. 해당 랜섬웨어는 배치파일 등을 이용하여 사용자 PC에 악성동작을 수행한다. 그리고 기본적인 윈도우 관련 디렉토리를 제외한 모든 폴더에 대하여 파일을 감염하기에 주의가 필요하다.

하기의 이미지를 드롭하여 바탕화면으로 등록하여 감염사실을 알린다.
 

 [그림 1] 바탕화면 등록 이미지 



[그림 2] 명령어 


또한, 감염 동작이 이루어진 모든 폴더 아래에 랜섬노트를 생성하여 감염사실을 2차적으로 알린다.
 

[그림 3] 랜섬노트  


Matrix 랜섬웨어는 먼저, 임의의 파일명으로 자가복사를 하고, vbs 파일과 bat 드롭한다. 드롭된 vbs 파일은 bat 파일을 schtasks 에 등록하여 5분마다 실행하도록 한다. 이 때 알람이 뜨지않고 작업이 겹칠 경우 강제로 실행하도록 하여 사용자가 눈치채지 못하도록 한다. 
 

[그림 4] vbs 파일 


그리고 실행된 배치파일은 볼륨 섀도우 복사본을 모두 삭제하고, 윈도우 복구 모드 비활성화, 윈도우 오류 복구 알림 비활성화 설정을 한다. 또한 해당 배치파일을 실행하였던 vbs 파일을 삭제하여 흔적을 지운다.
 

[그림 5] bat 파일


그리고 C2 서버와 연결하여 획득한 사용자 정보를 전달한다.

 

[그림 6] 송수신 데이터 


위의 악성동작이 모두 끝나면 기본적으로 존재하는 윈도우 관련 디렉토리를 제외하고 모든 파일에 대하여 감염 동작을 수행한다. 이때 일반적인 랜섬웨어와는 다르게 파일명도 임의의 이름으로 바꾸어 구별하지 못하도록 한다. 

 

  

[그림 7] 감염동작 후, 윈도우 관련 폴더 (좌), 새로 생성한 폴더 (우) 


이번 보고서에서 알아본 Matrix 랜섬웨어는 사용자가 필요에 의해 설치하거나 만든 모든 파일을 대상으로 암호화 동작을 하며, 원본파일을 구분하기가 어렵기에 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면