COMODO LABS에서 : e-fax가 CryptoLocker를 포함 할 수 있기 때문에 오래된 것은 다시 새로운 것입니다

읽기 시간 : 5 분

2013 년부터 CryptoLocker 맬웨어는 인터넷을 통해 다양한 형태로 다양한 반복으로 진행되고 있습니다. CryptoLocker는 Microsoft Windows를 실행하는 컴퓨터를 대상으로하는 랜섬웨어 트로이 목마이며 파일을 읽고, 해당 파일을 암호화하며, 원본 파일을 암호화 된 파일로 덮어 쓰고, 파일을 반환해야 할 필요가 있다는 점에서 사이버 범죄자에게 특히 인기가 있습니다.

[Comodo의 격리 기술은 2013 년 블로그 게시물에서 강조된 CryptoLocker로부터 고객을 보호한다는 점에 주목해야합니다. https://blog.comodo.com/it-security/cryptolocker-virus-best-practices-to-ensure-100-immunity/]

멀웨어가 진화함에 따라 CryptoLocker가 계속 인기를 끌고 있으므로 사이버 범죄자들이 매일 새로운 기술을 도입하면서 보안 소프트웨어를 피하는 방법도 진화했습니다.

팩스를 입력하십시오.

Comodo Threat Research Labs의 엔지니어들은 최근 첨부 파일이 팩스로 표시되어 전 세계의 기업 및 소비자에게 임의의 이메일을 보내는 피싱 공격을 발견했습니다.

전자 메일의 제목은 "새 팩스가 있습니다 (문서 00359970)"이며 전자 메일의 내용은 일반적인 팩스 메시지 일뿐입니다.

"팩스"피싱 이메일의 화면은 다음과 같습니다.

이 새로운 맬웨어 변종을 독특하게 만드는 것은 실제로 실행 파일과 배치 파일이 함께 실행되는 두 부분으로 구성된 맬웨어 시스템이라는 것입니다. Comodo의 엔지니어에 따르면 스크립트는 암호화 실행 파일의 크기를 3KB 미만으로 만드는 별도의 실행 파일로 분류되어 파일 크기가 많은 보안 계층을 통과 할 수 있습니다.

원본 스크립트는 암호화기를 다운로드 한 후에 종료되지 않으며, 실행을 계속하고 배치 파일을 생성하고 CryptoLocker를 시작합니다.

악의적 인 동작은 다음 단계에서 제공되며 런타임에 만들어진 실행 파일과 배치 파일의 조합으로 만 표시됩니다.

팩스 또는 e- 팩스 태그 라인을 사용하면 사람들이 이메일을 연 다음 첨부 파일을 클릭하여 팩스를 볼 수 있습니다.

코모도 위협 연구실 팀은 IP, 도메인 및 URL 분석을 통해이 피싱 이메일 캠페인을 식별했습니다.

“이 유형의 새로운 악성 코드 변형은 혁신적입니다. 간단한 프로그래밍 아이디어를 취하고이를 부정적인 의도와 결합합니다. 이러한 사이버 범죄자들은이를 실현하기 위해 많은 양의 테스트, 연구, 분석 및 프로그래밍에 전념하고 있습니다.”라고 Comodo의 기술 이사이자 Comodo Threat Research Lab의 책임자 인 Fatih Orhan은 말했습니다. “e- 팩스와 같은 오래된 기술 아이디어를 CryptoLocker와 같은 업데이트 된 코드 및 맬웨어 변형과 함께 사용하는 것은 두 가지 생각을 모으고 있습니다. 사이버 범죄자들은 ​​계속해서 기업과 소비자를 이용하려고 시도하고 있으므로 대중에 대한 경고의 말은 이와 같은 이메일에서 클릭하는 내용을 조심해야한다는 것입니다. 심각한 결과를 초래할 수 있습니다. "

Comodo Threat Research Labs 팀은 전 세계의 스팸, 피싱 및 맬웨어를 분석하고 필터링하는 40 명 이상의 IT 보안 전문가, 윤리적 해커, 컴퓨터 과학자 및 엔지니어로 구성되어 있습니다. 미국, 터키, 우크라이나, 필리핀 및 인도에 지사를두고있는이 팀은 현재 고객 기반을 보호하고 보호하기위한 통찰력과 결과를 사용하여 매일 백만 개 이상의 피싱, 스팸 또는 기타 악의적 / 원치 않는 이메일을 분석합니다. 그리고 대규모 공공, 기업 및 인터넷 커뮤니티.

회사의 IT 환경이 피싱, 맬웨어, 스파이웨어 또는 사이버 공격의 공격을 받고 있다고 생각되면 Comodo의 보안 컨설턴트에게 문의하십시오. https://enterprise.comodo.com/contact-us.php

다음은 악성 이메일의 화면 캡처입니다.

시스템 관리자 및 IT 관리자의 경우 맬웨어 작동 방식에 대한 자세한 내용은 다음과 같습니다.

이 피싱 이메일에 대한 이야기의 까다로운 부분은 디코딩 된 내부에 있습니다. 이 스크립트는 "www.foulmouthedcatlady.com, kashfianlaw.com, totalpraisetrax.com"중 하나에서 파일을 다운로드하여 % temp % 아래에 770646_crypt.exe로 저장합니다 (각 사용자마다 C : / Users / yourusername / AppData / Local / Temp / 및 770646은 임의의 숫자입니다).

흥미로운 부분은 다운로드 한 실행 파일이 그 자체로는 맬웨어 파일이 아니기 때문에 직접 실행되지 않는다는 것입니다. 암호화를 수행하는 데 사용되는 실행 파일 일 뿐이며 내부에 다른 항목이 없습니다. 파일 크기가 2560 바이트 (3KB 미만)이기 때문에 예외적입니다. 디 컴파일 된 코드에는 40-50 줄의 코드 만 포함됩니다. 이 파일은 다른 수준의 네트워크에있는 많은 보안 필터를 우회 할 수 있습니다.

따라서이 파일이 맬웨어가 아니라 암호화 된 파일 인 경우 악의적 인 동작은 무엇입니까? 암호화기를 다운로드 한 후 원본 스크립트 (정확히 첫 번째 스크립트는 아니지만 난독 처리 된 스크립트)가 종료되지 않습니다. 실행을 계속하고 또 다른 배치 파일을 만듭니다. 이 새 배치 파일의 이름을 770646_tree.cmd로 지정하고 동일한 디렉토리 (% temp %)에 저장합니다. 실제로이 배치 파일은 실제 악성 행위의 원인입니다. 먼저 모든 드라이브를 살펴보고 (A에서 Z까지 전체 알파벳을 확인) 각 드라이브에서 각 디렉토리를 검색하고 모든 하위 디렉토리를 탐색하며 문서 파일, PDF, 아카이브 파일, 소스 코드, 멀티미디어 데이터, 구성 파일, 도면 파일 및 기타 여러 파일 유형.

검색중인 파일 형식 목록은 다음을 포함하여 70 가지가 넘습니다.

* .zip * .rar * .xls * .xlsx * .doc * .docx * .pdf * .rtf * .ppt * .pptx * .jpg * .tif * .avi * .mpg 등…

이러한 확장자 중 하나와 일치하는 파일을 찾으면 해당 파일에 대해 암호화 기 (다운로드 한 실행 파일)가 실행됩니다. 암호화 기는 파일 확장자 나 다른 것을 변경하지 않고 단지 내용을 암호화하고 파일을 남깁니다. 모든 폴더 및 모든 드라이브에있는 모든 파일의 암호화가 완료된 후 배치 파일이 암호화 파일을 삭제합니다.

배치 파일은 Readme 파일 (770646_readme.txt)을 만들고 다음 텍스트를 작성합니다.

주의 :

모든 문서, 사진, 데이터베이스 및 기타 중요한 개인 파일은 고유 키가있는 강력한 RSA-1024 알고리즘을 사용하여 암호화되었습니다.

파일을 복원하려면 0.5 BTC (비트 코인)를 지불해야합니다. 이것을하기 위해:

1. 여기에서 비트 코인 지갑을 만드십시오 :

https://blockchain.info/wallet/new

2. 여기에서 검색을 사용하여 현금으로 0.5 BTC를 구매하십시오.

https://localbitcoins.com/buy_bitcoins

3.이 비트 코인 주소로 0.5 BTC를 보냅니다 :

1CWG5JHDZqHPF1W8sAnUw9vD8xsBcNZavJ

4. 다음 주소로 이메일을 보내십시오.

keybtc@inbox.com

그런 다음 파일을 복원하는 방법에 대한 자세한 지침이 포함 된 전자 메일을 받게됩니다.

기억하십시오 : 우리 외에는 아무도 당신을 도울 수 없습니다. Windows를 다시 설치하거나 파일 이름을 바꾸는 등의 작업은 쓸모가 없습니다.

결제하는 즉시 파일이 해독됩니다.

먼저 메모장 편집기에서이 파일을 연 다음이 파일을 사용자 데스크탑에 DECRYPT_YOUR_FILES.txt라는 새 파일로 복사합니다. 배치 파일은 또한 Windows 시작시 자동 실행을 위해 레지스트리에 항목을 추가하여 컴퓨터를 처음 열 때 동일한 추가 정보 메시지를 표시합니다. 마지막으로 배치 파일도 자체를 삭제합니다.

코모도 엔지니어들의 요약 :

분석에서 볼 수 있듯이 파일 암호화의 목표는 정기적이며 모든 보안 전문가에게 알려져 있습니다. 그러나 다운로드 된 실행 파일 자체가 악성이 아니고 전체 목표의 일부만 수행하므로 암호화 동작에 침투하여 선택한 방법은 다릅니다. 다른 부분은 런타임에 생성되는 배치 스크립트에 의해 수행됩니다 (처음에는 존재하지 않음). 두 파일 실행의 조합은 모든 파일을 암호화하는 최종 악의적 인 의도를 만듭니다. 이 방법은 다음 두 가지 요인으로 인해 일부 보안 필터 및 제품을 무시할 수 있습니다.

1. 1. 실행 파일의 내용 및 크기가 3KB 미만으로 낮아져 결국 악의적 인 동작을 포함하지 않습니다.

1. 악의적 인 동작은 실행 파일과 배치 파일을 함께 조합하여 런타임에 생성되는 경우에만 표시됩니다.

무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• 출처: https://blog.comodo.com/comodo-news/e-fax-contain-cryptolocker/