Return to Satan, Lucky Ransomware

내부 코드와 암호화대상 확장자, 제외 폴더, 암호화된 파일명 등 Satan 랜섬웨어와 유사한 Lucky 랜섬웨어가 나타났다.

또한 해당 랜섬웨어는 아래와 같이 10가지 취약점이 사용된다고 나와있었으며, 웜 형태의 랜섬웨어라고 한다.

1) 제이보스 디폴트 설정 취약점(CVE-2010-0738)
2) 톰캣 임의 파일 업로드 취약점(CVE-2017-12615)
3) 웹로직 임의 파일 업로드 취약점(CVE-2018-2894)
4) 웹로직 WLS 요소 취약점(CVE-2017-10271)
5) 윈도우 SMB 원격 코드 실행 취약점(MS17-010)
6) 스프링 데이터 커먼스 원격 코드 실행 취약점(CVE-2018-1273)
7) 아파치 스트러츠 2 원격 코드 실행 취약점(S2-045)
8) 아파치 스트러츠 2 원격 코드 실행 취약점(S2-057)
9) 톰캣 웹 관리자 콘솔 브루트포스 취약점
10) 제이보스 비직렬화 취약점

(출처 : https://www.waratek.com/satan-virus-variant/)

내부 코드를 살펴보아야겠지만 vmtoolsd.exe를 체크하여 가상환경에서 동작하지 않는 구조로 이루어져 있는 것으로 보인다.

또한 감염시 hwp는 감염이 되지 않으며, "[email]파일명.랜덤값.lucky" 로 암호화된다. 또한 감염 후 메모장을 통하여 랜섬노트를 실행시킨다.

Lucky 랜섬웨어에 이미 누군가 감염되었는지 위 랜섬노트의 지갑주소에서는 거래 흔적이 남아있다.

위와같은 파일명의 랜덤값은 "C:\Windows\Temp\Ssession" 라는 이름의 파일에 저장된 값과 같다.

Lucky 랜섬웨어에서는 "funny" 라는 이름의 뮤텍스를 등록하여 중복실행을 방지한다.

아래 목록의 확장자를 대상으로 암호화를 진행한다.

bak, sql, mdf, ldf, myd, myi, dmp, xls, xlsx, docx, pptx, eps, txt, ppt, csv, rtf, pdf, db, vdi, vmdk, vmx, pem, pfx, cer, psd

중략...

아래 목록의 폴더에 있는 파일은 암호화에서 제외한다.

windows, python2, python3, microsoft games, boot, i386, intel, dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windows mail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user

"111.90.158.225" 와 통신을 시도한다.

[IOC]

Filename : CPT.EXE

MD5 : 36e34e763a527f3ad43e9c30acd276ff

SHA-1 : c6df4e3cf3eceab3afcf945a686db63dd24c8e1d

SHA-256 : c0531f812a1ec5e825f7250f7b52db7621ecf93d973f0e3ba1aa0372e0f559f2

TimeStamp : Unknwon

wallet address : 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd

C&C : 111.90.158.225

e-mail : nmare@cock.li

mutex : funny

References

Copyright 2018. (YEJUN KIM) all rights reserved. Copyright 2018. (YEJUN KIM) All pictures cannot be copied without permission.