조심! Windows 업데이트처럼 보이는 Big Head 랜섬웨어는 백업도 삭제할 수 있음

지난 달 Fortinet의 보안 연구 기관인 FortiGuard Labs의 보안 연구원은 중요한 Windows 업데이트로 위장하여 장치를 감염시키는 랜섬웨어 변종에 대한 연구 결과를 발표했습니다.

아래 이미지는 “Big Head”라고 불리는 이 랜섬웨어가 사용자가 PC에서 예상되는 Windows 업데이트를 완료하기를 기다리는 동안 기본적으로 백그라운드에서 파일을 암호화할 때 표시하는 가짜 Windows 업데이트 화면을 보여줍니다. 이 과정은 약 30초가 소요됩니다.

위에서 언급한 것은 변종 A로 알려진 랜섬웨어의 첫 번째 변종입니다. 또한 손상된 시스템에서 파일 암호화를 위해 “cry.ps1″이라는 PowerShell 파일을 사용하는 변종 B라는 또 다른 변종이 있습니다.

Fortinet은 다음과 같은 Big Head 변종 시그니처를 탐지하고 보호할 수 있다고 말합니다.

FortiGuard Labs는 다음 AV 시그니처를 사용하여 알려진 Big Head 랜섬웨어 변종을 탐지합니다.

• MSIL/Fantom.R!tr.ransom
• MSIL/Agent.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

그 후 Trend Micro는 며칠 전에 Big Head에 대한 자체 연구 및 조사 결과를 발표하여 맬웨어에 대한 자세한 내용을 밝혔습니다. 이 회사는 이 랜섬웨어가 Virtual Box 또는 VMware와 같은 가상화된 환경도 확인하고 VSS(Volume Shadow Copy Service) 백업을 삭제하기까지 한다는 사실을 발견했습니다.

트렌드마이크로는 다음과 같이 설명합니다.

랜섬웨어는 디스크 열거 레지스트리에서 VBOX, Virtual 또는 VMware와 같은 문자열을 확인하여 시스템이 가상 환경 내에서 작동하는지 확인합니다. 또한 VBox, prl_(parallel’s desktop), srvc.exe, vmtoolsd 하위 문자열을 포함하는 프로세스를 검색합니다.

이 멀웨어는 가상화 소프트웨어와 관련된 특정 프로세스 이름을 식별하여 시스템이 가상화된 환경에서 실행 중인지 확인하여 더 나은 성공 또는 회피를 위해 그에 따라 조치를 조정할 수 있도록 합니다. 다음 명령줄을 사용하여 사용 가능한 복구 백업 삭제를 진행할 수도 있습니다.


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

트렌드마이크로는 또한 위의 샘플 외에 몇 가지 더 많은 샘플을 분석했습니다. 세 가지 샘플과 그 특성은 다음과 같이 요약됩니다.

• 첫 번째 샘플은 감염 체인에 백도어를 통합합니다.

• 두 번째 샘플은 트로이 목마 스파이 및/또는 정보 도용자를 사용합니다.

• 세 번째 샘플은 파일 감염자를 활용합니다.

아래 소스에 링크된 Fortinet 및 Trend Micro 웹사이트에서 Big Head의 IOC(Indicators of Compromise)와 더 자세한 기술 정보를 확인할 수 있습니다.

출처: Trend Micro 를 통한 Fortinet