새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의


1. 개요 


2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다.


'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.

이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

rapid.exe

파일크기

921,088 byte

진단명

Ransom/W32.Rapid.921088

악성동작

파일 암호화













2-2. 유포 경로

‘rapid ransomware’의 정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 ‘%AppData%’ 경로에 원본파일을 ‘info.exe’로 복사하여 윈도우 부팅 시 자동으로 시작하도록 만든다. 그 후 대상이 되는 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.rapid' 확장자를 덧붙인다. 그리고 활성화 상태를 계속 유지하여 새로운 파일이 생성 될 경우 해당 파일 또한 암호화 하도록 한다.


[그림 1] 복사 된 파일[그림 1] 복사 된 파일








3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.


[그림 2] 자동시작 레지스트리 등록[그림 2] 자동시작 레지스트리 등록





3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 드라이브 하위에서 아래와 같은 파일을 제외하고 시행된다. 이때 확장자를 구분하지 않고 암호화를 진행한다.


[그림 3] 암호화 제외 파일[그림 3] 암호화 제외 파일




암호화된 파일은 아래와 같이 [원본파일명.확장자].rapid 형식으로 파일명 뒤에 rapid를 확장자로 붙여준다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일




또한, 파일 암호화 후에도 활성화 상태를 유지하여 반복적으로 암호화 동작을 수행한다. 이로 인하여 새로 생성되는 파일 또한 암호화가 되도록 한다.





3-3. 데이터베이스 관련 프로세스 종료

'rapid ransomware' 는 암호화와 함께 oracle이나 sqlite 및 sql 같은 데이터베이스와 연관된 프로세스를 종료한다. 이를 수행하기 위해 커맨드 프롬프트에 아래와 같은 명령어를 전달하여 실행한다.


[그림 5] 특정 프로세스 종료[그림 5] 특정 프로세스 종료





3-4. 볼륨 쉐도우 삭제

암호화를 진행한 후에 피해자가 PC를 복원하는 것을 방지하기 위해 3종류의 명령어를 사용하여 복원 지점을 삭제한다.


[그림 6] 복원지점 삭제[그림 6] 복원지점 삭제



3-5. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대해서 복호화 화기 위한 방법으로 랜섬노트에 기록되어 있는 E-MAIL 주소로 연락하라는 내용을 안내하고 있다.


[그림 7] 랜섬노트[그림 7] 랜섬노트






4. 결론

이번 보고서에서 알아 본 'rapid ransomware' 는 아직까지 큰 피해는 발생하지 않았지만 실제 몇몇 피해 및 신고 사례를 갖고있는 랜섬웨어이므로 각별한 주의가 필요하다. 외국 온라인 게시판에서 자신이 관리하는 서버가 타격을 입었다는 게시물들을 통해 서버까지 공격대상에 포함된다고 추정해 볼 수 있다. 이러한 피해를 예방하기 위해 중요한 파일을 백업해두고 신뢰할 수 없는 파일에 대한 실행을 피하는 것이 좋다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능


Posted by nProtect & TACHYON