Venus Locker의 변종, LLTP Locker 감염 주의



1. 개요 


‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다.


지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다.


이번 보고서에서는 Venus Locker의 변종, ‘LLTP Locker’ 랜섬웨어에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

LLTP_Ransom.exe

파일크기

956,928 byte

진단명

Ransom/W32.LLTP.956928

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, P2P사이트, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘LLTP Locker’ 랜섬웨어가 실행되면 http://moniestealer.co.nf로 피해자의 PC이름, 사용자 계정, 그리고 식별자 문자열인‘LLTP2.4.0’을 전송한다.


[그림 1] 감염 시 패킷 전송[그림 1] 감염 시 패킷 전송



그 후 파일암호화를 진행하는데, LLPT 랜섬웨어의 경우, 특이 하게도 암호화 후에 원본 파일 확장명에 따라 두가지 형식의 새로운 확장자명으로 변경 한다. 

파일 암호화가 완료되면 사용자의 바탕화면은 아래와 같이 변경되고 .EXE와 .TXT 형태의 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면


[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드






3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 ‘2가지’ 확장자명 으로 암호화 한다. 

아래 [표 1] 에 해당하는 파일의 경우 암호화 후 확장자가 “.ENCRYPTED_BY_LLTP”로 변경된다. 

구분

내용

암호화 대상 파일

확장자

".txt",".ini",".php",".html",".css",".py",".c",".cxx",".aspx",".cpp",".cc",".h",".cs",             ".sln",

".log",".pl",".java",".doc",".dot",".docx",".docm",".dotx",".dotm",".rtf",".wpd",".docb",

".wps",".msg",".xls",".xlt",".xlm",".xlsx",".xlsm",".xltx",".xltm","xlsb",".xla",".xlam",

".xll",".xlw",".ppt",".pot",".pps",".pptx",".pptm",".potx",".potm",".ppam",".ppsx",

".ppsm",".sldx",".sldm",".class",".jar",".csv",             ".xml",".dwg",".dxf",".asp"

[표 1] 암호화 대상 파일 확장자


암호화 된 파일 확장자명이 ".ENCRYPTED_BY_LLTPp"으로 변경되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일

확장자

".asf",".pdf",".xls",".docx",".xlsx",".mp3",".waw",".jpg",".jpeg",".txt",".ost",".oab",

".jsp",".rtf",".doc",".rar",".zip",".psd",".tif",".wma",".gif",".bmp",".ppt",".pptx",".docm",

".xlsm",".pps",".ppsx",".ppd",".eps",".png",".ace",".djvu",".tar",".cdr",".max", ".wmv",

".avi",".wav",".mp4",".pdd",".php",".aac",".ac3",".amf",".amr",".dwg",".dxf",".accdb",

".mod",".tax2013",".tax2014",".oga",".ogg",".pbf",".ra",".raw",".saf",".val",".wave",

".wow",".wpk",".3g2",".3gp",".3gp2",".3mm",".amx",".rpt",".avs",".bik",".dir",".divx",

".dvx",".evo",".flv",".qtq",".tch",".rts",".rum",".rv",   ".scn",".srt",".stx",".svi",".swf",".trp",

".vdo",".wm",".wmd",".wmmp",".wmx",".wvx",".xvid",".3d",".3d4",".3df8",".pbs",

".adi",".ais",".amu",".arr",".bmc",".bmf",".cag",".cam",".dng",".ink",".ini",".jif",".jiff",

".jpc",".jpf",".jpw",".mag",".mic",".mip",".msp",".nav",".ncd",".odc",".odi",".opf",".qif",

".xwd",".abw",".act",".adt",".aim",".ans",".asc",".ase",".bdp",".bdr",".bib",".boc",".crd",

".diz",".dot",".dotm",".dotx",".dvi",".dxe",".mlx",".err",".euc",".faq",".fdr",".fds",".gthr",

".idx",".kwd",".lp2",".ltr",".man",".mbox",".msg",".nfo",".now",".odm",".oft",".pwi",

".rng",".rtx",".run",".ssa",".text",".unx",".wbk",".wsh",".7z",".arc",".ari",".arj",".car",".cbr",

".cbz",".gz",".gzig",".jgz",".pak",".pcv",".puz",".rev",".sdn",".sen",".sfs",".sfx",".sh",".shar",

".shr",".sqx",".tbz2",".tg",".tlz",".vsi",".wad",".war",".xpi",".z02",".z04",".zap",".zipx",

".zoo",".ipa",".isu",".jar",".js",".udf",".adr",".ap",".aro",".asa",".ascx",".ashx",".asmx",

".asp",".indd",".asr",".qbb",".bml",".cer",".cms",".crt",".dap",".htm",".moz",".svr",".url",

".wdgt",".abk",".bic",".big",".blp",".bsp",".cgf",".chk",".col",".cty",".dem",".elf",".ff",

".gam",".grf",".h3m",".h4r",".iwd",".ldb",".lgp",".lvl",".map",".md3",".mdl",".nds",

".pbp",".ppf",".pwf",".pxp",".sad",".sav",".scm",".scx",".sdt",".spr",".sud",".uax",".umx",

".unr",".uop",".usa",".usx",".ut2",".ut3",".utc",".utx",".uvx",".uxx",".vmf",".vtf",".w3g",

".w3x",".wtd",".wtf",".ccd",".cd",".cso",".disk",".dmg",".dvd",".fcd",".flp",".img",".isz",

".mdf",".mds",".nrg",".nri",".vcd",".vhd",".snp",".bkf",".ade",".adpb",".dic",".cch",".ctt",

".dal",".ddc",".ddcx",".dex",".dif",".dii",".itdb",".itl",”.kmz",".lcd",".lcf",".mbx",".mdn",

".odf",".odp",".ods",".pab",".pkb",".pkh",".pot",".potx",".pptm",".psa",".qdf",".qel",

".rgn",".rrt",".rsw",".rte",".sdb",".sdc",".sds",".sql",".stt",".tcx",".thmx",".txd",".txf",

".upoi",".vmt",".wks",".wmdb",".xl",".xlc",".xlr",".xlsb",".xltx",".ltm",".xlwx",".mcd",

".cap",".cc",".cod",".cp",".cpp",".cs",".csi",".dcp",".dcu",".dev",".dob",".dox",".dpk",

".dpl",".dpr",".dsk",".dsp",".eql",".ex",".f90",".fla",".for",".fpp",".jav",".java",".lbi",".owl",

".pl",".plc",".pli",".pm",".res",".rsrc",".so",".swd",".tpu",".tpx",".tu",".tur",".vc",".yab", 

".aip",".amxx",".ape",".api",".mxp",".oxt",".qpx",".qtr",".xla",".xlam",".xll",".xlv",".xpt",

".cfg",".cwf",".dbb",".slt",".bp2",".bp3",".bpl",".clr", ".dbx",".jc",".potm",".ppsm",

".prc",".prt",".shw",".std",".ver",".wpl",".xlm",".yps",".1cd",".bck",".html",".bak",".odt",

".pst",".log",".mpg",".mpeg",".odb",".wps",".xlk",".mdb",".dxg",".wpd",".wb2",".dbf",

".ai",".3fr",".arw",".srf",".sr2",".bay",".crw",".cr2",".dcr",".kdc",".erf",".mef",".mrw",".nef",

".nrw",".orf",".raf",".rwl",".rw2",".r3d",".ptx",".pef",".srw",".x3f",".der",".pem",".pfx",

".p12",".p7b",".p7c",".jfif",".exif",".docb",".xlt",".xltm",".xlw",".ppam",".sldx",".sldm",

".class",".db",".pdb",".dat",".csv",".xml",".spv",".grle",".sv5",".game",".slot",".aaf",".aep",

".aepx",".plb",".prel",".prproj",".eat",".ppj", ".indl",".indt",".indb",".inx",".idml",".pmd",

".xqx",".svg",".as3",".as"

[2] 암호화 대상 파일 확장자



해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA알고리즘을 사용하여 암호화 한다.

암호화 된 파일은 아래와 같은 형태가 되며, 바탕화면에 “LEAME.txt”, “RansomNote.exe”라는 랜섬노트가 생성된 것을 확인할 수 있다.


[그림 4] 암호화 된 파일과 랜섬노트[그림 4] 암호화 된 파일과 랜섬노트



'LLTP Locker'랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 

구분

내용

예외 대상 목록의

경로

"Program Files","Program Files (x86)","Windows","Python27","Python34",

"AliWangWang",  "Avira","wamp",  "Avira","360","ATI","Google","Intel",

"Internet Explorer","Kaspersky Lab","Microsoft Bing Pinyin","Microsoft Chart Controls",

"Microsoft Games","Microsoft Office","Microsoft.NET","MicrosoftBAF","MSBuild",

"QQMailPlugin","Realtek","Skype","Reference Assemblies","Tencent", "USB Camera2",

"WinRAR","Windows Sidebar","Windows Portable Devices","Windows Photo Viewer",

"Windows NT","Windows Media Player","Windows Mail","NVIDIA Corporation",

"Adobe","IObit","AVAST Software","CCleaner","AVG","Mozilla Firefox","VirtualDJ",

"TeamViewer","ICQ","java","Yahoo!"

[3] 예외 대상 경로




3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC의 볼륨 쉐도우 복사본이 제거된다.


[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제




3-3. 금전 요구

파일 암호화가 완료되면 'LLTP Locker'랜섬웨어는 암호화된 파일에 대하여 금전을 요구한다. 해당 랜섬웨어는 랜섬노트를 3가지 형식의 포멧으로 사용자에게 지불방법을 설명한다.

변경된 바탕화면과 바탕화면에 생성 된 “LEAME.txt” 는 영문으로, “RansomeNote.exe”는 스페인어로 사용자에게 비트코인 지불 방법을 안내한다.


[그림 6] 스페인어로 작성되어진 랜섬노트[그림 6] 스페인어로 작성되어진 랜섬노트


[그림 7] 영문 랜섬노트[그림 7] 영문 랜섬노트




3-4. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 .exe포멧의 랜섬노트를 띄워 사용자에게 감염되었다는 것을 계속 인지하도록 유도 한다.


[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가



그리고 바탕화면을 변경하기 위해서 아래 그림과 같이 Wallpaper의 값을 해당 이미지 경로로 변경한다.


[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가



4. 결론

‘LLTP Locker’에 대해서는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 여타 랜섬웨어와 같이 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 그 피해가 커질 것으로 예상된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석



1. 개요 


일반적으로 랜섬웨어는 해당 PC에 저장되어 있는 데이터 파일들을 암호화하여 인질로 잡고, 이를 복구하기 위한 방법으로 금전적 요구를 하는 악성코드이다. 하지만 최근에 발견된 ‘Rensenware’(련선웨어) 의 경우 암호화된 파일을 복구하기 위해 금액 지불이 아닌 특정 게임에서 일정 점수 이상을 달성해야 한다.


해당 ‘Rensenware’ 는 국내 한 누리꾼이 재미를 위해 개발한 랜섬웨어로, 실행 파일이 직접적으로는 배포되지 않았다. 하지만 인터넷에 소스코드가 공개되어 악용의 소지가 있을 것으로 예상된다.

사태의 심각성을 인지한 해당 개발자는 빠른 사과와 무력화 툴을 공개하였지만 유사한 악성코드가 발견될 수 있어 국내 사용자들에게 주의를 요한다.


이번 보고서에서는 일반적인 랜섬웨어의 복구 방식과 다른 ‘Rensenware’ 에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Rensenware.exe

파일크기

98,816 byte

악성동작

파일 암호화, 게임 점수 요구

 



2-2. 유포 경로

해당 악성코드의 공개 소스는 국내 커뮤니티 게시판에 공개용으로 게재 되었던 것으로 보이며, 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.



2-3. 실행 과정

‘Rensenware’ 가 실행되면 사용자 PC에 있는 데이터 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.

랜섬노트에는 다음과 같이 특정 게임의 일정 점수를 얻어야만 복호화를 수행한다는 내용을 담고 있다. 하지만 게임 실행 파일은 포함되어 있지 않아 사용자가 게임을 별도로 다운로드를 해야한다.


[그림 1] ‘Rensenware’ 랜섬노트[그림 1] ‘Rensenware’ 랜섬노트




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-256 알고리즘을 사용하여 암호화 한 뒤 ‘.RENSENWARE’ 라는 확장자를 덧붙인다. 


[그림 2] AES-256 암/복호화[그림 2] AES-256 암/복호화


[그림 3] 원본 파일 확장자에 ‘.Rensenware’ 덧붙이는 부분[그림 3] 원본 파일 확장자에 ‘.Rensenware’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상 파일

확장자

".jpg",".txt",".png",".pdf", ".hwp",".psd",".cs",".c",".cpp",".vb",".bas",".frm",".mp3",

".wav",".flac",".gif",".doc",".xls",".xlsx",".docx",".ppt",".pptx",".js",".avi",".mp4",".mkv",

".zip",".rar",".alz",".egg",".7z",".raw"

[1] 암호화 대상 파일 확장자



3-2. 특정 게임과 관계

암호화 된 데이터 파일을 복호화 하기 위해서는 “동방성련선” 이라는 게임이 필요하다. 해당 게임은 아래 그림과 같은 모습이며, 게임모드 중 ‘루나틱 모드’ 를 선택하여 ‘2억’ 점 이상을 획득해야 한다.


[그림 4] ‘동방성련선’ 게임 화면과 점수 부분[그림 4] ‘동방성련선’ 게임 화면과 점수 부분




[그림 5]에서 해당 랜섬웨어가 게임 모드와 점수를 지속적으로 확인하는 것을 알 수 있다.


[그림 5] ‘동방성련선’ 게임 모드와 점수 체크 부분[그림 5] ‘동방성련선’ 게임 모드와 점수 체크 부분



3-3. 암호화 된 파일 복호화

현재 해당 랜섬웨어는 개발자에 의해 복호화 툴이 배포되고 있다. 복호화 툴은 아래와 같으며, 게임이 실행 중일 때만 복호화가 가능하다. 게임이 실행 중일 때 “FORCE IT” 버튼을 누르게 되면 게임의 점수가 조작되는 것을 확인 할 수 있다.


[그림 6] ‘Rensenware’ 무력화 툴[그림 6] ‘Rensenware’ 무력화 툴



[그림 7]과 같이 게임의 점수가 조작되어 ‘4억’ 점으로 변경되는 것을 확인할 수 있다.


[그림 7] 점수를 변경시키는 소스 코드[그림 7] 점수를 변경시키는 소스 코드


[그림 8] 게임 점수 변경[그림 8] 게임 점수 변경



해당 게임 점수가 4억점으로 변경된 뒤, 이전에 출력된 랜섬노트 화면에서 복호화가 진행되고 있다는 메시지가 출력된다. 복호화가 완료된 뒤 알림과 함께 암호화 된 파일이 복호화 된 것을 확인 할 수 있다.


[그림 9] 복호화 알림[그림 9] 복호화 알림


[그림 10] ‘Rensenware’ 복호화 된 파일[그림 10] ‘Rensenware’ 복호화 된 파일




4. 결론

해당 랜섬웨어의 경우 개발자가 무력화 도구를 공개하여 파일 복호화가 가능하다. 하지만 Golden Tear 소스코드의 악용 사례와 같이, 이미 공개된 랜섬웨어 소스코드의 악용으로 인한 추가적인 피해가 나타날 수 있으므로 주의해야 한다.

또한, 사용자는 신뢰되지 않는 사이트에서 다운로드는 지양해야 하며, 출처가 불분명한 파일의 경우 실행에 주의해야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의



1. 개요 


‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.

CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.

이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

revenge.exe

파일크기

116,224 byte

진단명

Ransom/W32.Revenge.116224

악성동작

파일 암호화

해쉬(MD5)

3BCEADD4C2C546ABA24E24307F1DEFCD

 



2-2. 유포 경로

웹브라우저의 취약점을 공격하는 ‘RIG Exploit Kit’을 이용하여 웹을 통해 유포된다.



2-3. 실행 과정

해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 확장자를 REVENGE 로 변경한다. 파일 암호화 시 사용 된 AES 암호화 키는 다시 한번 RSA-1024 방식으로 암호화 된다. 또한 관리자 권한으로 실행하기 위해서 ‘Windows Defender’ 가짜 메시지를 출력하여, 사용자의 클릭을 유도해 권한을 상승한다. 파일 암호화 이후 아래 그림과 같은 .txt 포맷의 랜섬노트를 띄운다.

랜섬노트에는 ‘Revenge’ 랜섬웨어 복호화를 안내하는 내용이 있으며, 결제를 위한 메일 주소를 포함하고 있다.


[그림1] 랜섬노트[그림1] 랜섬노트




WMI Commandline Utility를 이용하여 원본악성코드를 호출한다. 권한 상승을 유도하기 위해서 ‘Windows Defender’에서 출력된 메시지처럼 사용자의 [계속] 버튼을 클릭하도록 만든다.


[그림2] 암호화 진행 중 첫번째 팝업 출력[그림2] 암호화 진행 중 첫번째 팝업 출력




‘Windows Defender’ 가짜 메시지 창의 [계속] 버튼을 사용자가 클릭하게 되면 아래와 같이 사용자 계정 컨트롤 팝업창을 허용할지 묻는다. 만약 [아니오]를 누르면 해당 메시지 창은 계속해서 발생된다.


[그림3] 암호화 진행 중 두번째 팝업 출력[그림3] 암호화 진행 중 두번째 팝업 출력




관리자 권한으로 실행할지 여부를 묻는 팝업창에서 허용 하게 되면 원본악성코드를 관리자 권한으로 실행 한다. 이러한 과정은 PC사용자를 Windows defender에서 실행하는 과정으로 보이도록 유도한다.


[그림4] 암호화 진행 중 세번째 팝업 출력[그림4] 암호화 진행 중 세번째 팝업 출력




해당 랜섬웨어는 [그림5]와 같이 .REVENGE의 문자로 확장자를 바꾼다. 그리고 대상 폴더 마다 “# !!!HELP_FILE!!!#.TXT” 라는 랜섬노트를 생성한다.


[그림5] 암호화 된 파일[그림5] 암호화 된 파일





3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.


[그림 6] 암호화 대상 파일 확장자 일부 내용[그림 6] 암호화 대상 파일 확장자 일부 내용




해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 파일의 확장자를 .REVENGE 로 변경한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA-1024 공개 키를 사용하여 암호화 한다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command Line과 같은 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림7] 쉐도우 파일 삭제[그림7] 쉐도우 파일 삭제






4. 결론

최근 ‘Revenge’ 랜섬웨어와 같이 한국인 사용자도 함께 겨냥한 랜섬웨어들이 지속적으로 등장하고 있다. 이에 대비하여 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Spora 랜섬웨어 분석 보고서




1. 개요 


몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

spora.exe

파일크기

77,824 byte

진단명

Ransom/W32.Spora.77824.L

악성동작

랜섬웨어

해쉬(MD5)

57484440F7BE94394FD851DE3E416285

 



2-2. 유포 경로

랜섬웨어 Spora는 피싱 이메일와 손상된 웹사이트를 통해 유포되었다.



2-3. 실행 과정

해당 악성코드는 파일 감염 후 자신을 “/u” 파라미터로 다시 실행하는데, 이 과정에서 UAC 팝업이 나타나며 사용자가 수락할 때까지 반복해서 나타난다. 파일 암호화 이후 아래 그림과 같은 html 포맷의 랜섬노트를 띄운다.

 

[그림 1] 랜섬노트[그림 1] 랜섬노트





3. 악성 동작


3-1. 파일 암호화

[그림 2]과 같은 확장자를 대상으로 파일 암호화를 진행하며, [그림 3]의 문자열을 포함하는 폴더는 암호화 대상에서 제외된다.

 

[그림 2] 암호화 대상 파일 확장자[그림 2] 암호화 대상 파일 확장자


 

[그림 3] 제외 폴더[그림 3] 제외 폴더




대상 파일 암호화 시 아래 그림과 같이 각 파일마다 각각의 128바이트의 암호화 키를 생성하여 암호화 하고, 파일 암호화에 쓰인 키는 또 다시 이전에 생성해 두었던 RSA키로 암호화되어 파일 끝 부분에 붙이고, 암호화된 암호화 키의 CRC 4바이트를 마지막에 붙인다.

 

[그림 4] 암호화된 파일 구조[그림 4] 암호화된 파일 구조




이로 인하여 같은 내용의 파일도 암호화된 결과가 다르며, 파일 이름의 변화 없이 파일 끝의 132 바이트를 검증하여 암호화 유무를 파악할 수 있게 된다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 쉐도우 복사본을 삭제하여 복구하여 시스템 복원을 불가능하게 만든다.

 

[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제





4. 결론

해당 악성코드는 html 포맷의 랜섬노트 hidden 필드에 base64로 인코딩된 피해자 정보를 입력하여, 감염 당시 피해자의 네트워크 연결 상태와 관계없이 피해자 식별이 가능하도록 구현되어 있다. 이러한 악성코드 감염의 예방을 위해선 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2.0 버전으로 나타난 세이지 랜섬웨어 상세 분석




1. 개요 


지난 12월 CryLocker의 변종인 Sage 랜섬웨어가 나타났다. 당시 여타 랜섬웨어에 비해 활동이 적은 것으로 보였으나, RIG 익스플로잇 킷에 의해 배포되고 있다는 것으로 파악되며 점차 큰 성장세를 엿볼 수가 있었다. 그리고 한달 만에 새로운 2.0 버전으로 다시 유포되기 시작하였다.

이번 분석보고서에서는 Sage 랜섬웨어 2.0 버전에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sage.exe (임의의 파일명)

파일크기

352,328 bytes

진단명

Ransom/W32.SageCrypt.352328

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

해당 랜섬웨어는 스팸 메일을 통해 유포되고 있는 것으로 확인 된다. 주로 첨부 파일의 이름이 EMAIL_[임의의 숫자]_recipient.zip 과 같은 형태로 되어 있는 것을 확인할 수 있다.




2-3. 실행 과정

메일에 첨부된 ZIP 파일에는 JS 파일이 있으며 이를 실행할 경우 암호화 동작을 수행하는 파일을 생성 후 실행하는 것을 확인할 수 있다. 암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경된 것을 확인할 수 있다.


[그림] 감염 후 사용자 바탕화면[그림] 감염 후 사용자 바탕화면



3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어를 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %APPDATA% 하위에 복사된 임의의 이름의 랜섬웨어를 가리키고 있다.


[그림] 자동 실행 링크 파일 생성[그림] 자동 실행 링크 파일 생성




3-2. 볼륨 섀도 복사본 제거

사용자가 PC를 암호화 하기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command line과 같은 명령어로 기존에 생성된 볼륨 섀도 복사본을 모두 삭제한다.

[그림] 볼륨 섀도 복사본 제거[그림] 볼륨 섀도 복사본 제거


3-3. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 “.sage” 라는 확장자를 덧붙인다.

[그림] 암호화 된 파일[그림] 암호화 된 파일



암호화 대상이 되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일 확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img .cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf .m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv .pdf .djvu .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz .rar .zip .arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .db .sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb .mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra .bay .pcd .dng .ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg .uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg .pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm .txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .xlr .odc .xlk .ppsx .obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab .cmd .bat .h .asx .lua .pl .as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs .asm .pas .cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf .tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html .ico .ipe .dwg .jng .cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl .indl .dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst .inx .plt .idml .pmd .psp .ttf .3dm .ai .3ds .ps .cpx .str .cgm .clk .cdx .xhtm .cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017 .tt20 .qsm .2015 .2014 .2013 .aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo .stc .lgb .qwc .qbp .qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx .t13 .ebc .ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf .tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci .npc .qbmb .sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb .tt15 .ssg .t09 .epa .qch .pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv .kd3 .vmb .qph .t08 .qel .m12 .pvc .q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2 .qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld .quic .mbsb .nl2 .qml .wac .cf8 .vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01 .fcr .gnc .ldc .t05 .t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc .mnp .qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql .dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t .00c .qmt .cfdi .u10 .s12 .qme .int? .cf9 .ta5 .u08 .mmb .qnx .q07 .tb2 .say .ab4 .pma .defx .tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99 .mn9 .qem .scd .mwi .mrq .q98 .i2b .mn6 .q08 .kmy .bk2 .stm .mn1 .bc8 .pfd .bgt .hts .tax0 .cb .resx .mn7 .08i .mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam .btif .11t .efsl .$ac .emp .imp .fxw .sbc .bpw .mlb .10t .fa1 .saf .trm .fa2 .pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd .pr1 .mn2 .bpf .mws .h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa .rec .rda .ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10 .ent .fyc .p08 .jsd .zka .hbk .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens .3pe .pxa .intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap .p12 .p7c .crt .csr .pem .gpg .key

[1] 암호화 대상 파일 확장자



3-4. 결제 안내

암호화가 진행되면서 각 폴더에는 “!Recovery_***.html” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.

[그림] 랜섬노트[그림] 랜섬노트






4. 결론


Sage 랜섬웨어가 한달 만에 새로운 버전으로 돌아왔다는 점에서 Cerber 랜섬웨어와 같이 지속적으로 변종을 생성할 수도 을 것으로 보인다. 현재 RIG 익스플로잇 킷과 결합한 Sage 랜섬웨어는 공격적인 유포 방식을 전개할 가능성이 있어 주의가 필요하다. 


랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

크리스마스 이브에 유포된 DeriaLock 랜섬웨어




1. 개요 


악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DeriaLock.exe (임의의 파일명)

파일크기

581,632 bytes

진단명

Ransom/W32.Derialock.581632

악성동작

파일 암호화, 금전 요구

네트워크

a*********e.b*****d.net

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 새해가 되는 시점 또한 주의하여야 한다.




2-3. 실행 과정

현재 발견된 DeriaLock 랜섬웨어는 파일을 암호화 시키지 않고 화면만을 잠근다. 화면을 잠근 후 사용자가 해당 프로세스를 종료할 수 없도록 ‘cmd.exe’ 와 ‘taskmgr.exe’ 등을 종료시킨다.





3. 악성 동작


3-1. 프로세스 종료

DeriaLock 랜섬웨어는 특정 프로세스를 찾아 종료한다.


[그림 1] 프로세스 종료[그림 1] 프로세스 종료




대상이 되는 프로세스는 아래와 같다. cmd.exe, taskmgr.exe 등을 강제로 종료하여 사용자가 악성 프로세스를 종료 시키지 못하도록 한다.

대상 프로세스 목록

taskmgr

regedit

msconfig

utilman

cmd

explorer

certmgr

control

cscript

procexp

procexp32

procexp64

[ 1] 대상 프로세스 목록



3-2. 화면 잠금

해당 랜섬웨어는 파일을 암호화하는 대신 아래와 같이 화면을 잠근다. 이로 인해 사용자는 해당 화면 외에 다른 화면을 볼 수가 없어 아무런 동작을 할 수 없게 된다.

[그림 2] 화면 잠금[그림 2] 화면 잠금



3-3. 기타

랜섬웨어 개발자는 본인의 PC를 실수로 감염시키는 것을 방지하기 위하여 컴퓨터 고유의 해시 값을 확인한다. 제작자가 지정한 해당 해시 값을 갖는 PC 의 경우 화면 잠금 동작을 수행하지 않고 프로그램이 종료된다.

[그림 3] 컴퓨터 고유의 해시 값 비교[그림 3] 컴퓨터 고유의 해시 값 비교


추가적인 파일을 특정 주소로부터 다운 받는다. 다운로드에 성공할 경우 해당 프로그램을 시작 메뉴 폴더에 ‘SystemLock.exe’ 라는 이름으로 저장한다. 이로 인해 PC 가 사용자가 PC 를 끄고 다시 로그온을 하면 해당 프로그램이 실행된다.

[그림 4] 파일 다운로드[그림 4] 파일 다운로드



4. 결론


해당 랜섬웨어는 아직 다른 랜섬웨어와 같이 큰 피해를 유발하지는 않지만, 추후 다른 변종이 활성화 될 경우 점차 그 피해가 커질 것이다. 2016년 한해를 마무리 짓고 2017년의 시작을 준비하는 이때, 랜섬웨어로 인한 피해를 주의하여야 한다.


랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye




1. 개요 


2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.

최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

GoldenEye.xls (임의의 파일명)

파일크기

1,805,312 byte

진단명

Ransom/X97M.Goldeneye.1805312

악성동작

파일 드롭 및 실행

  

구분

내용

파일명

rad[임의의5자리].exe

파일크기

368,640 byte

진단명

Ransom/W32.Goldeneye.368640

악성동작

파일 암호화, MBR 변조

 



2-2. 유포 경로

GoldenEye 랜섬웨어는 이메일에 첨부되어 유포되고 있다. 첨부된 파일은 .xls 파일로 해당 파일을 열어 매크로를 실행시키면 랜섬웨어를 실행하여 암호화 동작을 수행한다.




2-3. 실행 과정

첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 PC의 MBR을 변조한다. 이 두 동작이 완료되면 PC를 강제로 재부팅 시켜 변조된 MBR의 코드가 실행된다. 모든 동작을 수행한 뒤 랜섬웨어는 아래와 같은 해골 문양의 화면을 출력한다.


[그림 1] 감염된 사용자 화면[그림 1] 감염된 사용자 화면




3. 악성 동작


3-1. 매크로 실행 유도 및 파일 드롭

첨부된 .xls 파일을 실행하면 다음과 같은 문구가 쓰여있는 것을 확인할 수 있다. 이는 파일의 내용을 확인하고 싶으면 매크로 기능을 활성화하라는 문구로, 사용자가 매크로 기능을 실행하게끔 유도하는 것을 확인할 수 있다. 매크로가 실행되면 암호화 동작을 수행하는 랜섬웨어가 사용자의 PC 에 드롭된 후 실행된다.


[그림 2] 매크로 실행[그림 2] 매크로 실행





3-2. 파일 암호화

드롭된 랜섬웨어는 사용자의 파일을 찾아 암호화한다. 암호화된 파일의 이름에는 “a.xlsx” 가 “a.xlsx.12345678” 과 같이 임의의 8자리 문자가 덧붙여진다. 또한 “YOUR_FILES_ARE_ENCRYPTED” 라는 이름의 랜섬노트가 생성 된 것을 확인 할 수 있다.

[그림 3] 암호화된 파일[그림 3] 암호화된 파일


랜섬노트에는 아래와 같이 사용자의 파일이 암호화 되었다는 문구와 복호화 안내 문구가 써있다.

[그림 4] 랜섬노트 파일[그림 4] 랜섬노트 파일


3-3. MBR 변조 및 MFT 암호화

파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 아래와 같이 “CHKDSK” 작업이 진행 중임을 나타낸다. 실제로 디스크를 점검하는 것처럼 보이지만 실상은 사용자 PC 의 MFT 를 암호화하고 있는 것이다.

[그림 5] MFT 암호화[그림 5] MFT 암호화


MFT 암호화가 완료되면 다시 PC가 부팅되며 노란 해골 화면이 출력된다. 그리고 다음 화면으로 진행하면 아래와 같이 GoldenEye 랜섬웨어에 의해 사용자의 PC 가 암호화 되었다는 사실을 알려준다.

[그림 6] 변조된 MBR[그림 6] 변조된 MBR


3-4. 금전 요구

랜섬노트에서 안내하는 페이지로 접속할 경우 GoldenEye 랜섬웨어 복호화 사이트에 접속할 수 있다. 해당 랜섬웨어는 약 1.3 비트코인을 요구하고 있다. 현재 FAQ는 활성화 되어 있지 않고 Support 페이지를 통해 랜섬웨어 배포자에게 질의를 할 수 있다. 질의를 통해 좀 더 상세한 안내를 하고 있으며 사용자의 결제를 유도한다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Petya 랜섬웨어 악성코드 군은 계속해서 새로운 모습으로 나타나 사용자 PC를 위협하고 있다. Petya와 비교했을 때, GoldenEye 랜섬웨어는 더 강한 악성 동작으로 사용자에게 큰 피해를 주고 있다. 


현재 국내에서는 활발히 유포되고 있지 않지만 해당 랜섬웨어가 이전부터 이메일 첨부 방식을 사용해왔으며, 주로 첨부 파일의 이름을 ‘이력서’와 관련 짓는다는 점에서 기업 채용 담당자의 각별한 주의가 필요하다. 랜섬웨어에 의한 피해를 예방하기 위해서는 안티바이러스 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불분명한 첨부 파일의 열람을 자제 해야 한다.


위 랜섬웨어 파일과 랜섬웨어를 드롭하는 엑셀 매크로 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Park Geun-hye Resigns’ 링크 주의, 이슈를 이용해 유포된 Cerber 랜섬웨어




1. 개요 


악성코드 유포 방법은 다양한데, 이 중 하나로 사회적 이슈를 이용하는 방법이 있다. 사회적 이슈와 관련된 웹 페이지나 파일 등에 악성코드를 첨부하여 사용자가 접근했을 때 악성코드를 다운로드하고 감염을 시작한다. 


최근엔 국내 가장 큰 이슈에 맞춰, 박근혜 대통령 이슈를 이용해 유포되는 랜섬웨어가 등장하였다. 하루에도 수 많은 관련 기사들이 나오고 대부분의 사람들이 관심 갖는 이슈인 만큼 감염되기 쉽다는 것이 큰 특징이다. 


이번 보고서에선 ‘Park Geun-hye Resigns’이라는 자극적인 제목의 가짜 기사 링크로 접속을 유도하여, 사용자 PC를 감염시킨 Cerber 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

exename.exe

파일크기

341,607 byte

진단명

Ransom/W32.Cerber.341607

악성동작

파일 암호화, 금전 요구

네트워크

c*******e.com – 유포지

 




2-2. 유포 경로

해당 랜섬웨어는 해외 유명 뉴스 매체 CNN으로 위장한 사이트의 기사로 유포되고 있다. 해당 사이트에서 ‘Park Geun-hye Resigns’ 라는 제목의 기사를 클릭하면 새로운 버전의 Cerber 랜섬웨어가 사용자 PC에 다운로드된다. 다운로드된 랜섬웨어는 실행 시 사용자의 파일을 암호화 한다.



2-3. 실행 과정

다운로드된 Cerber 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 사용자 파일 암호화가 완료되면 아래 그림과 같이 감염된 PC의 바탕화면을 변경하여 암호화 사실을 알린다.


[그림] 감염 후 변경되는 사용자 바탕화면[그림] 감염 후 변경되는 사용자 바탕화면




3. 악성 동작


3-1. 파일 감염

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤 파일 이름을 변경한다. 파일 확장자의 경우 임의의 네 자리 문자로 변경되며, 각 폴더엔 “_README_hta” 라는 이름의 HTA 랜섬노트가 생성된 것을 확인할 수 있다.


[그림] 랜섬노트와 암호화 된 파일[그림] 랜섬노트와 암호화 된 파일



암호화 대상이 되는 파일 확장자는 다음과 같다.


구분

내용

암호화 대상 파일 확장자

.accdb .mdb .mdf .dbf .vpd .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt .pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm .xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql .sqlite-shm .sqlite-wal .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd .pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .mts .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx .money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .db .secret


[] 암호화 대상 파일 확장자


3-2. 볼륨 섀도 복사본 제거

해당 랜섬웨어는 윈도우 관리 도구(WMIC.exe)를 통해 사용자 PC의 볼륨 섀도 복사본을 제거한다. 이는 사용자가 랜섬웨어에 감염되기 전으로 되돌리는 것을 방지하기 위한 것으로 보인다.

[그림] 볼륨 섀도 제거[그림] 볼륨 섀도 제거



3-3. 금전 요구

파일 암호화가 완료된 후 아래와 같은 HTA 랜섬노트를 출력한다. 해당 랜섬노트에는 암호화 사실을 알려주며 복호화를 하기 위한 결제 안내 페이지의 주소를 나타낸다.

[그림] HTA 형태의 랜섬노트[그림] HTA 형태의 랜섬노트




해당 주소로 이동하면 아래와 같이 비트코인을 요구하고 있는 것을 확인할 수 있다. 5일 이내에 결제할 경우 1 비트코인이며, 이후에는 2 비트코인을 지불해야한다고 안내한다.


[그림] 결제 안내 페이지[그림] 결제 안내 페이지





4. 결론


공격자가 사회적 이슈를 악용하여 악성코드를 유포하는 것은 자주 사용하는 수법이다. 사용자는 단순히 정보를 얻기 위해 뉴스 기사나 웹 페이지에 접속한 것이지만, 악성코드는 사용자 모르게 설치되어 사용자의 PC 를 감염시킨다. 특히 현재 유포되고 있는 악성코드가 랜섬웨어라는 점에서 사용자에게 금전적인 피해를 줄 수 있어 각별한 주의가 필요하다.


이러한 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 취약한 웹 사이트의 방문을 자제해야 하며 의심되는 URL이 있다면 접속하지 않아야 한다.


위 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect