랜섬웨어 분석 정보

[랜섬웨어 분석]다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의

1. 개요

Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다.


이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

278,528 bytes

 진단명

Ransom/W32.VB-Dharma.278528

 악성동작

파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Dharma 랜섬웨어는 암호화를 진행하기 전, 레지스트리를 수정하여 자동 실행 파일로 자신을 등록하고, 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다. 이와 동시에 현재 실행 중인 프로세스 및 서비스를 확인하며 특정 프로세스나 서비스가 실행 중인 경우 강제로 종료시킨다. 이후 시스템을 탐색하면서 암호화 대상 파일을 선별하여 암호화를 진행하고, 암호화 작업이 완료된 후에는 “Info.hta”, “FILES ENCRYPTED.txt”라는 이름의 두 종류의 랜섬노트를 생성한다.

 

[그림 1] 랜섬노트 “Info.hta” 파일[그림 1] 랜섬노트 “Info.hta” 파일

 

 

 

 

 

 

[그림 2] 랜섬노트 “FILES ENCRYPTED.txt” 파일[그림 2] 랜섬노트 “FILES ENCRYPTED.txt” 파일

 

 

 

3. 악성 동작

3-1.  시스템 복원 지점 삭제

암호화를 진행하기 전, “vssadmin.exe” 파일을 실행하여 [그림 3]과 같은 명령을 실행한다. 아래 명령은 윈도우 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다.

 

 

[그림 3] 파일 암호화[그림 3] 파일 암호화

 

 

3-2.  자동 실행 등록

 레지스트리를 수정하여 원본 파일이 시스템 재시작 후에도 자동으로 실행될 수 있도록 설정한다. 암호화가 끝난 후에는 랜섬노트 파일 “Info.hta”도 추가로 등록하여 자동으로 실행되도록 한다.

 

 

[그림 4] 자동 실행 등록[그림 4] 자동 실행 등록

 

 

 

3-3.  특정 프로세스 및 서비스 강제 종료

현재 실행 중인 프로세스 및 서비스 이름과 [표 1]의 목록을 비교하여 일치할 시 서비스를 강제로 종료시킨다.

 

구분 

내용 

 종료 프로세스

 1c8.exe, 1cv77.exe, outlook.exe, postgres.exe, mysqld-nt.exe, mysqld.exe, sqlservr.exe

 종료 서비스

 FirebirdGuardianDefaultInstance, FirebirdServerDefaultInstance, sqlwriter, mssqlserver, sqlserveradhelper

 [표 1] 종료 프로세스 및 서비스 목록

 

 

3-4.  파일 암호화

Dharma 랜섬웨어는 원활한 암호화를 진행하기 위해 일부 폴더 및 파일을 암호화 대상에서 제외한다. 먼저 “%windir%” 폴더의 하위 파일 및 폴더는 암호화하지 않으며, 파일명이 [표 2]의 암호화 제외 파일 목록에 속하거나 파일 확장자가 “.btc”인 파일도 암호화하지 않는다. 이를 제외한 모든 파일은 암호화를 진행한 후 파일 확장자를 “id-[랜덤 문자].[공격자 메일].btc”로 변경한다.

 

 

구분 

내용 

 암호화 제외 파일

 bootfont.bin, ntldr, ntdetect.com, io.sys, FILES ENCRYPTED.txt, Info.hta, “Dharmar 실행 파일”

 [표 2] 암호화 제외 목록

 

 

 

 

 

 

 

[그림 5] 파일 암호화 결과[그림 5] 파일 암호화 결과

 

 

 

 

4. 결론

이번에 살펴본 btc 확장자 변종은 최근 유포되는 다른 Dharma 랜섬웨어와 기능상 큰 차이는 없으나 BTC 랜섬웨어라는 다른 랜섬웨어와 확장자명이 겹치기 때문에 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

 

 

 

댓글

댓글쓰기

랜섬웨어 분석 정보 관련된 글

관련글 더보기