NOTICE



 2016년 09월 중순 이후로 .wsf 악성코드가 많이 많이 발견되고 있습니다.

 WSF는 Windows 스크립트 파일 확장자로 주로 추가적인 악성코드 다운로드 기능을 수행합니다. 그런데 최근에 유포되는 악성 .wsf 파일의 경우 조금 특이합니다. PHP 랜섬웨어를 포함해서 악성코드 3종을 다운로드 및 실행시킵니다.

 오늘은 이러한 기능을 수행하는 ‘Delivery_Notification_00777701.doc.wsf’ 파일을 살펴보겠습니다.




1. Delivery_Notification_00777701.doc.wsf


 다음은 ‘Delivery_Notification_00777701.doc.wsf’ 파일 코드입니다.



 해당 파일을 실행시킬 경우 C&C 서버로부터 총 5개의 파일을 다운로드 받습니다.

 


 다운로드 된 파일은 "%TEMP%" 경로에 저장됩니다.


 


 a1.exe와 a2.exe는 다운로드 되면 바로 실행됩니다. 해당 파일 정보는 아래 링크를 참고해주시기 랍니다.


 

 a.exe, php4ts.dll, a.php의 다운로드가 완료되면 동일한 경로에 a.txt 파일을 생성합니다. a.txt는 랜섬웨어가 타깃 파일 암호화를 한 뒤에 사용자에게 감염 사실을 알릴 용도로 작성한 파일입니다. a.txt 파일에 입력되는 문자열은 다음과 같습니다.


 

 a.txt 파일은 자동 레지스트리에 등록됩니다.


 

 또한 암호화된 파일을 실행할 때 a.txt 파일이 실행되도록 레지스트리 설정을 변경합니다.




 모든 설정이 완료되면 a.php 코드를 실행시켜서 타깃 파일을 암호화합니다.


 

 파일 암호화가 완료되면 a.txt 파일을 실행시켜서 사용자에게 감염 사실을 알립니다. 그리고 a.exe, php4ts.dll, a.php를 삭제한 뒤 종료됩니다.


 

 php 랜섬웨어는 ‘2. a.php’에서 살펴보겠습니다. 나머지 a1.exe와 a2.exe에 대한 정보는 아래 링크를 참고하시기 바랍니다.


- a1.exe 악성코드 정보:  준비중


- a2.exe 악성코드 정보:  준비중




2. a.php


 a.php는 PHP Script로 작성된 파일로 2.exe(PHP Script Interpreter)에 의해 실행됩니다. 먼저 반복문을 사용해서 “C:\” ~ ”Z:\”까지의 드라이브 문자열 경로를 생성한 뒤 파일 암호화 함수를 호출합니다.


 

 암호화 타깃 파일 탐색 시 제외되는 폴더는 다음과 같습니다.


 

 다음은 암호화 타깃 파일 확장자 정보입니다.


 

 랜섬웨어 동작 결과 타깃 파일들이 암호화되는 것을 확인할 수 있습니다.

 

 

 a.php는 암호화 키 값을 자신이 가지고 있습니다. 그렇기 때문에 파일 암호화가 끝나면 ‘Delivery_Notification_00777701.doc.wsf’에 의해서 a.php 파일은 삭제됩니다.


 

 그러나 XOR을 이용한 암호화 방식을 사용하기 때문에 복호화가 가능합니다. 단 복호화 키를 얻기 위해서는 암호화되지 않은 동일 파일이 필요합니다. 복호화 Tool에 대해서는 아래 링크를 참고하시기 바랍니다.


- Nemucod 랜섬웨어 복호화 Tool: https://decrypter.emsisoft.com/nemucod


Nemucod 랜섬웨어 복호화 Tool: https://decrypter.emsisoft.com/nemucod


 이상으로 “[2016.09.19] 3 종의 악성코드를 감염시키는 WSF 파일 정보_01. PHP 랜섬웨어”에 대한 포스팅을 마치겠습니다.