[Malware analysis] 스팸 캠페인에서 새로운 Avaddon Ransomware

[Malware analysis] 스팸 캠페인에서 새로운 Avaddon Ransomware

참조

 > https://www.pcrisk.com/removal-guides/18039-avaddon-ransomware

일반적으로 스팸 캠페인을 악의적인 첨부 파일이나 악의적 인 파일을 다운로드하도록 설계된 웹 사이트 링크가 포함 된 메일을 통해 Avaddon 랜섬웨어 관련 .js 파일을 첨부해 배포하고 있다.

첨부파일 확인 시 "IMG141146.jpg.js" JPG 사진으로 가장한 .js 파일을 확인할 수 있다.

(그림 1)

해당 파일 실행시 UAC 알림 메시지를 확인할 수 있다.

(그림 2)

.js 파일 실행시 PowerShell을 통한 sava.exe 라는 파일을 다운로드 하는 것을 확인할 수 있으며, %temp% 폴더에 다운로드 후 실행까지 하는 것을 확인할 수 있다.

추가적으로 bitsadmin을 이용하여 sava.exe 파일 다운로드도 함께 시도하는 걸 확인할 수 있다.

(그림 3)

%temp% 폴더 확인 시 sava.exe 파일을 확인할 수 있다. 

(그림 4)

sava.exe 프로세스에 의한 Command 발생 확인 시 감염된 환경에서 사용자가 시스템 복원 기능을 통해 파일을 복구할 수 없도록 시스템 복원을 무력화하는 걸 알 수 있다.

wmic.exe SHADOWCOPY /nointeractive wbadmin DELETE SYSTEMSTATEBACKUP bcdedit.exe /set {default} recoveryenaled No bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures vssadmin.exe Delete Shadows /All /Quiet

이후 재부팅 시 윈도우 바탕 화면 배경을 "%\bckgrd.bmp" 파일로 변경하는 알 수 있다.

(그림 5)

시작프로그램 등록을 위한 레지스트리 값 설정하는 걸 알 수 있으며, Avaddon 랜섬웨어에 의해 파일 암호화가 진행될 경우 .avdn 파일 확장명으로 변경되는 것을 알 수 있다.

(그림 6, 7)

각 폴더에는 [6자리 숫자]-readme.html 파일이 같이 생성되며, 확인 시 (그림 6)와 같이 랜섬 노트를 확인할 수 있다.

이후 Tor 브라우저 설치 및 Your ID 값 입력 시, 지불 사이트 페이지로 이동하며, 1000 USD에 달하는 가격의 비트코인을 요구하는 것을 확인할 수 있다.

(그림 8)