게임 파일 아이콘으로 위장한 한국어 랜섬웨어 감염 주의


1. 개요 


이번에 발견 된 랜섬웨어는 '히든 티어(Hidden Tear)' 오픈 소스로 작성 된 랜섬웨어로 게임 파일로 위장하여 사용자들의 파일을 암호화하기 때문에 각별한 주의가 필요하다. 해당 랜섬웨어는 일전에 소개되어진 'Korean Locker' 랜섬웨어와 같이 유창한 한국어로 랜섬노트에 복호화 절차를 안내하고 있고, 금전을 요구하는 연락처 또한 'Korean Locker' 와 같기 때문에 같은 제작자에 의해 만들어진 것으로 보여진다.


이번 보고서에서는 게임 파일로 위장하면서 확장자를 '.암호화됨' 으로 변경하는 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Minecraft.exe

파일크기

2,762,752 byte

진단명

Ransom/W32.HiddenTears.2762752

악성동작

파일 암호화













2-2. 실행 과정

이번 랜섬웨어는 바탕화면 경로의 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화한 파일은 파일이름 뒤에     ‘.암호화됨’이라는 확장자를 덧붙이고 암호화가 완료되면 아래 [그림 2]와 같이 국내 메신저로 위장한 랜섬노트를 화면에   출력한다.


[그림 1] 게임 파일로 위장한 랜섬웨어[그림 1] 게임 파일로 위장한 랜섬웨어


 [그림 2] 국내 메신저로 위장한 랜섬노트[그림 2] 국내 메신저로 위장한 랜섬노트






3. 악성 동작


3-1. 파일 암호화

사용자 PC의 바탕화면 경로를 탐색하여 대상이 되는 파일을 암호화한다. 암호화 대상이 되는 파일의 확장자는 아래 [표 1]과 같다.


구분

내용

암호화 대상 파일 확장자

".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd", ".URL", ".kys", ".bat",

[표 1] 암호화 대상 파일 확장자



암호화는 임의의 키 값과 AES(Advanced Encryption Standard) 알고리즘을 통해 진행하며, 암호화 절차는 아래와 같다.

 

[그림 3] 파일 암호화 코드[그림 3] 파일 암호화 코드



구분

내용

암호화 방식

15자리의 임의의 값 생성

② 생성한 값을 Byte로 인코딩

③ 인코딩한 Byte값을 SHA256를 통해 해쉬 계산

④ 계산된 해쉬와 AES 알고리즘을 통해 암호화

[2] 암호화 방식



이번 랜섬웨어는 암호화 후 파일이름 뒤에 ‘.암호화됨이라는 확장자를 덧붙인다. 아래 [그림4]는 암호화된 파일에 대한 화면이다


 [그림 4] 암호화 된 파일[그림 4] 암호화 된 파일




3-2. 작업관리자 비활성화 및 파일 생성

레지스트리 특정 경로(HKCU\Microsoft\Windows\CurrentVersion\Policies\System\)에 ‘DisableTaskMgr’ 값을 생성하여 작업관리자를 사용하지 못하게 한다.


[그림 5] 작업관리자 비활성화 레지스트리 값 ‘DisableTaskMgr’ 생성[그림 5] 작업관리자 비활성화 레지스트리 값 ‘DisableTaskMgr’ 생성



[그림 6] 레지스트리 설정으로 인한 작업관리자 실행 불가[그림 6] 레지스트리 설정으로 인한 작업관리자 실행 불가



또한 당신의 파일이 암호화되었습니다.”라는 문구를 포함한 ‘READ_IT.txt’ 파일을 바탕화면에 생성한다.


[그림 7] ‘READ_IT.txt’ 파일의 암호화 안내 문구[그림 7] ‘READ_IT.txt’ 파일의 암호화 안내 문구






4. 결론

게임 파일과 국내 메신저로 위장한 이번 랜섬웨어는 일반 사용자가 무심코 실행하기 쉬워 각별한 주의가 필요하다.  랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 








Posted by nProtect

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 


1. 개요 


최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인  '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.exe

파일크기

216,576 bytes

진단명

Ransom/W32.KoreanLocker.216576

악성 동작

파일 암호화













2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.





2-3. 실행 과정

‘Korean Locker’ 랜섬웨어는 확장자는 ‘.exe’이지만 PDF 문서 아이콘으로 위장 하고 있다. 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.locked’라는 확장자를 덧붙인다. 또한, 바탕화면에 ‘Readme.txt’ 이름의 랜섬노트를 생성하며, 해당 텍스트 파일을 실행시키면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. 


[그림 1] ‘Korean Locker’ 랜섬노트[그림 1] ‘Korean Locker’ 랜섬노트








3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ‘.locked’라는 확장자를 덧붙인다. 


구분

내용

암호화 대상 파일

확장자

".txt",".hwp",".doc",".docx",".xls",".index",".pdf",".zip",".rar",".css",".lnk",".xlsx",".ppt",

".pptx",".odt", ".jpg",".bmp",".png",".csv",".sql",".mdb",".sln",".php",".asp",".aspx",

".html",".xml",".psd",".bk",".bat", ".mp3",".mp4",".wav",".wma",".avi",".divx",".mkv",

".mpeg",".wmv",".mov",".ogg",".vmv",".cs",".sln", ".suo",".settings",".exe",".log",

".dll",".reg"

[표 1] 암호화 대상 파일 확장자


[그림 2] 파일 암호화[그림 2] 파일 암호화




3-2. 결제 안내

암호화가 진행된 후 바탕화면에 ‘Readme.txt’ 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 한글로 작성된 비트코인 구매 방법을 볼 수 있으며, 암호화된 파일에 대하여 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다. 또한, 하단에 한국 비트코인 거래소를 나열하고 있다. 


[그림 3] 복호화 안내 문구[그림 3] 복호화 안내 문구








4. 결론


이번 보고서에서 알아 본 ‘Korean Locker’ 랜섬웨어는 암호화 동작 외에 기존 랜섬웨어의 볼륨 쉐도우 복사본 삭제, 자동 실행 등록 같은 동작은 하지 않는 것으로 보아 테스트 목적으로 만들어졌을 가능성이 높다. 향후 기능이 추가되어 피해를 입을 수 있으므로 PC를 사용함에 있어 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



Posted by nProtect

Triple M 랜섬웨어 유포 주의 


1. 개요 


최근, 가상화폐의 가치에 대한 사회적 관심이 높아지고 있는 가운데, 작년에 이어 올해도 다양한 형태의 랜섬웨어가 발견되고 있다. 사용자 PC에 있는 주요 파일을 암호화하고 금전을 요구하는 랜섬웨어는 거래 추적을 어렵게 하기 위해 가상 화폐를 이용하는데, 가상 화폐 가치가 늘어난 만큼 랜섬웨어 또한 기승을 부릴 것으로 보여진다.


이번 분석 보고서에서는 “Triple M” 랜섬웨어에 대하여 간략하게 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

mmm.exe

파일크기

32,256 bytes

악성 동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 메일에 파일을 첨부하여 유포되거나, P2P를 이용한 공유 등으로 유포 되는 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시, 대상이 되는 확장자에 대하여 암호화하고 암호화한 파일 이름 뒤에 “.triple_m”라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 “RESTORE_triple_m__FILES.html” 라는 이름의 랜섬노트를 생성하며, 해당 “html”파일을 실행시키면 아래와 같은 화면을 사용자에게 보여준다.


[그림1] “Triple M” 랜섬노트[그림1] “Triple M” 랜섬노트






3. 악성 동작


3-1. 파일 암호화 및 확장자 변경

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ".triple_m"라는 확장자를 덧붙인다. 그리고 각 암호화된 파일마다 암호화 키 정보를 저장하는 ".info" 파일을 추가 생성하는 특징이 있다. 


구분

내용

암호화 대상 파일

확장자

".doc",".adi",".adt",".docx",".altr",".xls",".xlsx",".ppt",".pptx",".odt",".jpg",".png",".csv",".sql","sln",".php",

".asp",".aspx",".html",".xml",".psd",".bat",".js",".css",".sqlite",".dwg",".jpeg",".dis",".adx",".fp7",".sif",".ldf",

".ndf",".mdf",".trn",".err",".pdf",".myi",".myd",".zip",".bak",".bkf",".prn",".data",".ctf",".mkd",".ziz",".pxf",

".dst",".eps",".tlf",".ltf",".cdr",".pmd",".ai",".txt",".qbw",".qbb",".tlg",".ecw",".pdf",".frm",".pix",".accdb",

".mdb",".cdr",".eps",".tif",".msg",".asmx",".rpt",".arw",".qbo",".qbw",".sldprt",".dwf"


[1] 암호화 대상 파일 확장자


[그림 2] 파일 암호화[그림 2] 파일 암호화





3-2. 볼륨 쉐도우 복사본 삭제 및 복구 모드 사용 안함

또한 TripleM랜섬웨어는 "C:\Users\%UserName%\AppData\Roaming\” 하위에 [표2]와 같이 3가지의 배치파일을 생성하고 실행한다. 해당 배치 파일은 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 “vssadmin.exe”를 이용하여 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다. 또한 부팅 구성 데이터 편집기 인 “bcedit.exe”에 옵션을 이용하여 사용자가 복구 모드를 사용하지 않도록 설정한다.


구분

내용

배치 파일 내용

Temp_1.bat

vssadmin delete shadows /all /quiet

볼륨 쉐도우 복사본 삭제

reco.bat

bcedit.exe /set {default} recovery enabled no

복구 모드 사용 안함

bcedit.bat

bcedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시


[2] 배치 파일 생성 및 실행






3-3. USB 등 기타 드라이브 암호화

해당 랜섬웨어는 기본 “C:”드라이브는 물론, 기타 드라이브까지 검색하여 사용자의 중요한 파일들을 암호화한다.

[그림 3] 이동식 드라이브 암호화[그림 3] 이동식 드라이브 암호화





3-4. 암호화 후 자가 삭제

실행된 TripleM 랜섬웨어는 파일 암호화 후, “selfdelete.bat” 파일을 생성한다. 생성한 “selfdelete.bat” 배치파일을 이용하여 원본 숙주파일을 삭제 한다.

구분

내용

배치 파일 내용

selfdelete.bat

:Repeat

del "mmm.exe"

if exist "mmm.exe" goto Repeat

del selfdelete.bat

자가 삭제


[3] 배치파일 내용





3-5. 결제 안내

암호화가 진행된 후 대상 폴더에는 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화된 파일에 대하여 제한 시간 내에 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다.

[그림 4] 복호화 안내 문구[그림 4] 복호화 안내 문구







4. 결론

이번 보고서에서 알아 본 "TripleM Ransomware" 같은 경우 랜섬노트 내용 중 “TripleM Ransomware V1”이라고 기입되어 있어 추후 버전 업이 될 여지가 보여진다. 아직까지 해당 랜섬웨어는 다른랜섬웨어 비하여 피해 사례가 발생하지 않았지만 감염 될 경우 주요 문서들이 암호화 되어 큰 손실로 이어질 수 있는 만큼 PC를 사용함에 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 








Posted by nProtect

Hermes 2.1 랜섬웨어 감염 주의


1. 개요 


‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다.


이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

[임의의 파일명].exe

파일크기

345,088 byte

진단명

Ransom/W32.Hermes.345088

악성동작

파일 암호화













2-2. 유포 경로

‘Sundown Exploit Kit’를 사용하여 웹 브라우저의 취약점을 악용함으로써 웹 사이트를 통해 유포되었다.





2-3. 실행 과정

‘Hermes 2.1’ 랜섬웨어는 실행 시 지정된 확장자 파일을 암호화하고 암호화된 파일의 확장자를 그대로 유지함으로써      일반적인 랜섬웨어와는 다른 행태를 보인다. 이후 사용자가 암호화된 파일을 복구하지 못하도록 쉐도우 복사본을 삭제하는데 이는 ‘cmd.exe’ 를 통해 ‘window.bat’ 파일을 실행시킴으로써 그 기능을 수행한다. 실행된 ‘window.bat’ 파일과 ‘Hermes 2.1’ 랜섬웨어는 동작이 끝나면 삭제되고 아래 [그림1]과 같이 .html 포맷의 랜섬노트를 띄운다.


[그림1] Hermes 2.1 랜섬노트[그림1] Hermes 2.1 랜섬노트



랜섬노트는 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다.









3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일의 일부 확장자는 아래 [표1]과 같다.


구분

내용

암호화 대상 파일 확장자

tif php 1cd 7z cd 1cd dbf ai arw txt doc docm docx zip rar xlsx xls xlsb xlsm jpg jpe jpeg bmp db eql sql adp mdf frm mdb odb odm odp ods dbc frx db2 dbs pds pdt pdf dt cf cfu mxl epf kdbx erf vrp grs geo st pff mft efd 3dm 3ds rib ma max lwo lws m3d mb obj x x3d c4d fbx dgn dwg 4db 4dl 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr bak cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd fcd fic fid fil fm5 fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx $$$ $01 $db $efs $er __a __b {pb ~cw ~hm 0 00 000 001 002 1 101 103 108 110 113 123 123c 123d 123dx 128 1cd 1pe 1ph 1sp 1st 256 264 2d 2mg 3 32x 3d 3d2 3d4 3da 3dc 3dd 3df 3df8 3dl 3dm 3dmf 3dmk 3don 3dp 3dr 3ds 3dt 3dv 3dw 3dx 3dxml 3fr 3g2 3ga 3gp 3gp2 3gpp 3gpp2 3me 3mm 3p2 3pe 3pr 3w 4db 4dd 4dl 4dv 4mp 4th 4w7 555 602 60d 73b 73c 73l 787 7z 7zip 8 890 89t 89y 8ba 8bc 8be 8bf 8bi 8bi8 8bl 8bs 8bx 8by 8ld 8li 8pbs 8st 8svx 8xg 8xk 8xs 8xt 8xv 9xt 9xy a a$v a00 a01 h02è‹ a1wish a26 a2c a2l a2m a2theme a2w a3l a3m a3w a4l a4m a4p a4w a52 a5l a5rpt a5w a5wcmp a65 a8s aa aa3 aac aaf aah aam aao aaui ab ab1 ab2 ab3 ab4 ab65 aba abc abcd abdata abf abi abk abkprj abp abs abt abw abx aby ac2 ac3 ac5 ac6 aca acbl acc accda accdb accdc accde accdr accdt accdu accdw accft acd ace acf acg ach aco acp acr acrobatsecuritysettings acrodata acroplugin acrypt act actm actx acv acw acx ad ada adb adblock adc adcp add addin addon ade adf adi adn ado adobebridge adoc ados adox adp adpb adpp adr ads adt adu adv advs adx adz aea aec aep aepx aes aet aetx aex afd afdesign afe aff afm afp afs aft agb agd agd1 agdl age3rec age3sav age3scn age3xrec age3xsav age3xscn age3yrec age3ysav age3yscn agg aggr agi agx ahd ahf ahl ahs ahu ai aia aif aifb aiff aim ain aip ais ait aiu aiv ajp ak al al8 ala alb alb3 alb4 alb5 alb6 alc ald ale alf ali allet alm alp alr alt3 alt5 alv alx alz am am1 am4 am5 am6 am7 amb amc amf aml amm amp amr ams amsorm amt amu amv amx amxx an an1 an2 an8 ane anim animset animset_ingame anl anm anme ann ans ansr ansym anx any aof aoi aois aom ap ap_ apa apd ape apf aph api apj apk apl aplg aplp apnx apo app applet application appref - ms approj appx appxsym appxupload apr aps apt apw apxl apz aqt ar arc arch00 arcut ard arena arf arff arg arh ari arj ark arl aro arp arpack arr ars arsc artproj arw arx as as$ as2proj as3 as3proj as4 asa asat asax asc ascii ascm ascs ascx asd asdb ase asef asf ash ashbak ashdisc ashprj ashx asi ask asl asm asmx asn asnd asp aspx asr asset asstrm ast asv asvf asvx aswcs asws asx asy atc ate atf ath ati atl atm atn atom atomsvc atr ats att atw atx aty atz au3 aut automaticdestinations autoplay aux av ava avb avc avchd avd ave avhd avi avj avn avp avs avv avx aw awcav awd awdb awe awg awlive awm awp aws awt aww awwp ax axd axe axm axp axt axx azf azs azw azw1 azw3 azw4 azz azzx b b1 b27 b2a b3d b5i b5t b64 b6i b6t ba bac back backup backupdb bad bafl bak bak~ bak2 bak3 bakx bamboopaper bank bar bas base baserproj basex bat bau bav bax bay bb bb3 bbb bbc bbcd bbl bbprojectd bbs bbxt bbz bc5 bc6 bc7 bcc bcd bci bck bckp bcl bcm bcmx bcp bcs bct bdb bdb2 bdc bdf bdic bdl bdm bdmv bdp bdr bdsproj bdt2 bdt3 bean bed bet bf bfa bfg bfm bfs bfx bgi bgl bgt bgv bgz bh bho bhx bi8 bib bibtex bic bif big bik bil bim bin bina bionix bip biq bit bitpim bix bizdocument bjl bjo bk bk! bk1 bk2 bk3 bk4 bk5 bk6 bk7 bk8 bk9 bkc bkf bkg bkk bkp bks bkup bkz blb bld blend blend1 blend2 blg blk blm bln blob blockplt blogthis blorb blp bls blt blu bluej blw blz bm2 bm3 bmc bmd bme bmf bmg bmi bmk bml bmm bmml bmp bmpr bms bmz bna bnd bndl bng bnk bnp bns bnz boc bok boo book boot bop box bp1 bp2 bp3 bpa bpb bpd bpdx bpf bpg bpk bpl bpm bpmc bpn bpnueb bpr bps bpw bpz br3 br4 br5 br6 ...

[1] 암호화 대상 파일 확장자 일부 내용



해당 랜섬웨어는 파일에 대한 암호화만 진행할 뿐 추가 확장자를 붙여 변경하지 않는다. 아래 [그림2]는 암호화된 파일의 예시이다.


 [그림2-1] 암호화 된 파일[그림2-1] 암호화 된 파일



[그림2-2] 암호화 전(왼쪽) 후(오른쪽)[그림2-2] 암호화 전(왼쪽) 후(오른쪽)







3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 볼륨 쉐도우 복사본을 삭제한다. 아래 [그림3]의 Command Line과 같은 명령어로 ‘window.bat’ 을 실행하여 그 기능을 수행하는데 ‘window.bat’ 은 [그림 4]와 같이 볼륨 쉐도우를 삭제하는 명령어를 담고 있다.


[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행



[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’








4. 결론



‘Hermes’ 2.1 랜섬웨어는 국내 웹 사이트를 통해 유포되었기 때문에, 인터넷 사용에 각별한 주의가 필요하다. 그 뿐만 아니라 이번 랜섬웨어의 경우 파일을 암호화한 뒤에도 확장자를 변경하지 않아 감염에 대한 인지 및 대응이 지연될 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관해야 할 것이다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능



Posted by nProtect

‘Spider Ransomware’ 감염 주의



1. 개요 


지난 보고서에서 알아보았던 ‘Oni’ 랜섬웨어는 일본을 대상으로 활동했던 랜섬웨어다. 국내뿐만 아니라, 세계적으로 2017년 악성코드 비율에서 높은 부분을 차지했던 악성코드는 랜섬웨어를 꼽을 수 있다. 이번 보고서에서는 발칸 반도의 특정 국가들을 대상으로 삼아 새로이 등장한 ‘Spider’ 랜섬웨어에 대해서 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

enc.exe

파일크기

29,184 byte

진단명

Ransom/W32.FileSpider.29184

악성동작

파일 암호화











구분

내용

파일명

dec.exe

파일크기

222,208 byte

진단명

Ransom/W32.FileSpider.222208

악성동작

프로세스 모니터링 및 종료 / 랜섬노트 출력











2-2. 유포 경로

해당 악성코드는 스팸 메일 속에 악성 문서파일이 첨부되어 전파된다. 첨부된 악성 문서파일은 매크로를 통해 2개의 파일을 다운로드하고 실행한다. Spider 랜섬웨어는 이처럼 스팸메일과 매크로를 통해 유포된다. 





2-3. 실행 과정

해당 악성코드는 매크로를 통해 %AppData%\Roaming\Spider 경로에 enc.exe 와 dec.exe 두 파일을 다운로드하여 실행한다. enc.exe 파일은 파일 암호화를 진행하며, dec.exe 파일은 실행중인 프로세스를 지속적으로 모니터링 하여 cmd.exe, procexp.exe 등의 프로세스들을 실행하지 못하도록 종료시킨다. 이후에 암호화가 완료되면, dec.exe 파일이 enc.exe 파일을 삭제하고 아래와 같은 랜섬노트를 실행하여 사용자에게 암호화 여부를 알린다. 랜섬노트는 발칸 반도의 특정 국가에서 사용하는 크로아티아어와 영어 2가지 언어를 지원한다.


[그림1] 랜섬노트[그림1] 랜섬노트



사용자는 랜섬노트를 보고 암호화에 대해 인식하게 되고, 해당 GUI 창을 통해서 복호화와 관련된 상세한 내용과 금전을 지불하고 받는 복호화 키를 입력 할 수 있는 창 등을 볼 수 있다.


[그림2] 복호화 안내창과 복호화 키 입력창[그림2] 복호화 안내창과 복호화 키 입력창







3. 악성 동작


3-1. 파일 암호화

악성코드는 암호화 기능을 가지고 있는 enc.exe 파일 실행 시 아래 경로를 화이트 리스트로 두고 파일 암호화 과정에서 제외한다.


[그림 3] 암호화 제외 대상 경로[그림 3] 암호화 제외 대상 경로



위에서 본 화이트 리스트 경로를 제외한 나머지 경로에서 아래와 같은 확장자를 대상으로 파일 암호화를 진행한다.


구분

내용

암호화 대상 파일 확장자

lnk url contact 1cd dbf dt cf cfu mxl epf kdbx erf vrp grs geo st conf pff mft efd 3dm 3ds rib ma sldasm sldprt max blend lwo lws m3d mb obj x x3d movie byu c4d fbx dgn dwg 4db 4dl 4mp abs accdb accdc accde accdr accdt accdw accft adn a3d adp aft ahd alf ask awdb azz bdb bib bnd bok btr bak backup cdb ckp clkw cma crd daconnections dacpac dad dadiagrams daf daschema db db-shm db-wal db2 db3 dbc dbk dbs dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd eql fcd fdb fic fid fil fm5 fmp fmp12 fmpsl fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdb mdbhtml mdf mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce odb oqy ora orx owc owg oyx p96 p97 pan pdb pdm phm pnz pth pwa qpx qry qvd rctd rdb rpd rsd sbf sdb sdf spq sqb stp sql sqlite sqlite3 sqlitedb str tcx tdt te teacher tmd trm udb usr v12 vdb vpd wdb wmdb xdb xld xlgc zdb zdc cdr cdr3 ppt pptx 1st abw act aim ans apt asc ascii ase aty awp awt aww bad bbs bdp bdr bean bna boc btd bzabw chart chord cnm crwl cyi dca dgs diz dne doc docm docx docxml docz dot dotm dotx dsv dvi dx eio eit email emlx epp err etf etx euc fadein faq fb2 fbl fcf fdf fdr fds fdt fdx fdxt fes fft flr fodt fountain gtp frt fwdn fxc gdoc gio gpn gsd gthr gv hbk hht hs htc hwp hz idx iil ipf jarvis jis joe jp1 jrtf kes klg knt kon kwd latex lbt lis lit lnt lp2 lrc lst ltr ltx lue luf lwp lxfml lyt lyx man map mbox md5txt me mell min mnt msg mwp nfo njx notes now nwctxt nzb ocr odm odo odt ofl oft openbsd ort ott p7s pages pfs pfx pjt plantuml prt psw pu pvj pvm pwi pwr qdl rad readme rft ris rng rpt rst rt rtd rtf rtx run rzk rzn saf safetext sam scc scm scriv scrivx sct scw sdm sdoc sdw sgm sig skcard sla slagz sls smf sms ssa strings stw sty sub sxg sxw tab tdf tex text thp tlb tm tmv tmx tpc trelby tvj txt u3d u3i unauth unx uof uot upd utf8 unity utxt vct vnt vw wbk wcf webdoc wgz wn wp wp4 wp5 wp6 wp7 wpa wpd wpl wps wpt wpw wri wsc wsd wsh wtx xbdoc xbplate xdl xlf xps xwp xy3 xyp xyw ybk yml zabw zw 2bp 036 3fr 0411 73i 8xi 9png abm afx agif agp aic albm apd apm apng aps apx art artwork arw asw avatar bay blkrt bm2 bmp bmx bmz brk brn brt bss bti c4 cal cals can cd5 cdc cdg cimg cin cit colz cpc cpd cpg cps cpx cr2 ct dc2 dcr dds dgt dib dicom djv djvu dm3 dmi vue dpx wire drz dt2 dtw dvl ecw eip exr fal fax fpos fpx g3 gcdp gfb gfie ggr gif gih gim gmbck gmspr spr scad gpd gro grob hdp hdr hpi i3d icn icon icpr iiq info int ipx itc2 iwi j j2c j2k jas jb2 jbig jbig2 jbmp jbr jfif jia jng jp2 jpe jpeg jpg jpg2 jps jpx jtf jwl jxr kdc kdi kdk kic kpg lbm ljp mac mbm mef mnr mos mpf mpo mrxs myl ncr nct nlm nrw oc3 oc4 oc5 oci omf oplc af2 af3 ai asy cdmm cdmt cdmtz cdmz cdt cgm cmx cnv csy cv5 cvg cvi cvs cvx cwt cxf dcs ded design dhs dpp drw dxb dxf egc emf ep eps epsf fh10 fh11 fh3 fh4 fh5 fh6 fh7 fh8 fif fig fmv ft10 ft11 ft7 ft8 ft9 ftn fxg gdraw gem glox hpg hpgl hpl idea igt igx imd vbox vdi ink lmk mgcb mgmf mgmt mt9 mgmx mgtx mmat mat otg ovp ovr pcs pfd pfv pl plt pm vrml pmg pobj ps psid rdl scv sk1 sk2 slddrt snagitstamps snagstyles ssk stn svf svg svgz sxd tlc tne ufr vbr vec vml vsd vsdm vsdx vstm stm vstx wmf wpg vsm vault xar xmind xmmap yal orf ota oti ozb ozj ozt pal pano pap pbm pc1 pc2 pc3 pcd pcx pdd pdn pe4 pef pfi pgf pgm pi1 pi2 pi3 pic pict pix pjpeg pjpg png pni pnm pntg pop pp4 pp5 ppm prw psd psdx pse psp pspbrush ptg ptx pvr px pxr pz3 pza pzp pzs z3d qmg ras rcu rgb rgf ric riff rix rle rli rpf rri rs rsb rsr rw2 rwl s2mv sai sci sep sfc sfera sfw skm sld sob spa spe sph spj spp sr2 srw ste sumo sva save ssfn t2b tb0 tbn tfc tg4 thm thumb tif tiff tjp tm2 tn tpi ufo uga usertile-ms vda vff vpe vst wb1 wbc wbd wbm wbmp wbz wdp webp wpb wpe wvl x3f y ysp zif cdr4 cdr6 cdrw pdf pbd pbl ddoc css pptm raw cpt tga xpm ani flc fb3 fli mng smil mobi swf html xls xlsx csv xlsm ods xhtm 7z m2 rb rar wmo mcmeta m4a itm vfs0 indd sb mpqge fos p7c wmv mcgame db0 p7b vdf DayZProfile p12 d3dbsp ztmp rofl sc2save sis hkx pem dbfv sie sid bar crt sum ncf upk cer wb2 ibank menu das der t13 layout t12 dmp litemod dxg qdf blob asset xf esm forge tax 001 r3d pst pkpass vtf bsa bc6 dazip apk bc7 fpk re4 bkp mlx sav raf qic kf lbf bkf iwd slm xlk sidn vpk bik mrwref xlsb sidd tor epk mddata psk rgss3a itl rim pak w3x big icxs fsh unity3d hvpl ntl wotreplay crw hplg arch00 xxx hkdb lvl desc mdbackup snx py srf odc syncdb cfr m3u gho ff odp cas vpp_pc js dng lrf c cpp cs h bat ps1 php asp java jar class aaf aep aepx plb prel prproj aet ppj indl indt indb inx idml pmd xqx fla as3 as docb xlt xlm xltx xltm xla xlam xll xlw pot pps potx potm ppam ppsx ppsm sldx sldm aif iff m4u mid mpa ra 3gp 3g2 asf asx vob m3u8 mkv dat efx vcf xml ses zip 7zip mp4 3gp webm wmv


[1] 암호화 대상 확장자 목록



암호화를 하기 전에 enc.exe 파일과 같은 경로에 files.txt 파일을 생성하여 암호화한 파일들의 목록을 저장한다.


[그림 4] 암호화 된 파일[그림 4] 암호화 된 파일



랜섬웨어는 암호화를 마친 이후에 원본 파일명 뒤에 .spider 확장자를 붙여 이름을 변경한다.


[그림 5] 암호화 된 파일[그림 5] 암호화 된 파일





3-2. 특정 프로세스 종료

enc.exe와 함께 실행되는 dec.exe파일은 실행 시 아래와 같은 목록의 프로세스들을 모니터링하며 실행되지 못하도록 지속적으로 종료시킨다.


[그림 6] 모니터링 프로세스 목록[그림 6] 모니터링 프로세스 목록








4. 결론


이번 보고서에서 알아본 ‘Spider’ 랜섬웨어는 현재는 발칸 반도의 몇몇 국가를 대상으로 퍼지며 이번 달 초에 발견되어 아직 국내에는 많이 알려져 있지 않지만 악성코드 감염이 언제 어느때 어떤 방식으로 유포될지 알 수 없기 때문에 파일을 암호화하여 사용할 수 없게 만드는 랜섬웨어는 국내 사용자들도 충분히 주의 해야한다.


사용자들은 이메일의 첨부파일을 실행하는데 있어서 충분한 주의를 기울이고 중요한 자료는 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능



Posted by nProtect

‘PDF 파일로 위장한 Ransomware’ 감염 주의



1. 개요 


일반적으로 악성코드는 사용자에게 감염을 성공적으로 하기 위해서, 사용자가 호기심을 가질만한 내용으로 파일이름을 변경하거나 이미 보편적으로 사용되고 있는 소프트웨어로 위장하여 유포한다. 


랜섬웨어 또한 악성코드의 한 종류로써 위와 같은 방법을 사용하여 사용자의 파일을 인질로 삼아 금전을 요구한다. 일반적인 악성코드에 비하여 감염 시 정상적으로 PC에 있는 파일을 사용 할 수 없기 때문에 피해가 크다. 그렇기 때문에 보편적으로 사용되고 있는 소프트웨어라도 설치하거나 다운로드 시 주의를 요한다.


이번 보고서에서는 다른 랜섬웨어들에 비하여 완성도가 많이 떨어지긴 하지만 PDF 파일로 위장하여 파일을 암호화하는 랜섬웨어에 대하여 간략하게 알아보도록 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

임의의 파일명.exe

파일크기

220,160 byte

악성동작

파일 암호화, 금전 요구










2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 "C:\" 경로에 사용자 계정이름과 동일한 폴더를 생성하고 변경할 바탕화면 이미지파일과 자기 자신을 복사하여 실행한다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.cryp70n1c' 확장자를 덧붙인다. 


[그림 1] 감염 된 사용자 [그림 1] 감염 된 사용자







3. 악성 동작


3-1. PDF 파일 위장

해당 랜섬웨어 파일은 아래 [그림 2] 와 같이 PDF 아이콘으로 위장하고 있기 때문에 파일이름을 변경하여 유포 하였을 때 사용자들이 보다 쉽게 감염될 것으로 보여진다. 해당 파일이 실행되면 실행 된 경로에서는 삭제되지만, C:\ 경로에 자기 자신을 복사하여 실행되도록 한다. 


[그림 2] PDF 파일 위장[그림 2] PDF 파일 위장




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.cryp70n1c’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] AES-256 암호화[그림 3] AES-256 암호화



[그림 4] 파일 암호화[그림 4] 파일 암호화



구분

내용

암호화 대상 파일

확장자

".txt", ".jar", ".exe", ".dat", ".contact", ".settings", ".doc", ".docx", ".xls", ".xlsx", ".ppt",

".pptx", ".odt", ".jpg", ".png", ".csv", ".py", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx",".html", ".htm", ".xml", ".psd", ".pdf", ".dll", ".c", ".cs", ".mp3", ".mp4", ".f3d", ".dwg", ".cpp", ".zip", ".rar", ".mov", ".rtf", ".bmp", ".mkv", ".avi", ".apk", ".lnk", ".iso", ".7-zip", ".ace", ".arj", ".bz2", ".cab", ".gzip", ".lzh", ".tar", ".uue", ".xz", ".z", ".001", ".mpeg", ".mp3", ".mpg", ".core", ".crproj", ".pdb", ".ico", ".pas", ".db", ".torrent", ".sai", ".mdb", ".mdf", ".ldf", ".dbf", ".wdb", ".xlsx", ".123", ".pst", ".mbx", ".dbx", ".edb", ".qbb", ".pay", ".acu", ".drw", ".dwg", ".dwf", ".tct", ".tcw", ".psd", ".ai", ".mp4"


[1] 암호화 대상 파일 확장자




3-3. 랜섬 노트

암호화가 완료된 후 바탕 화면에는 "READ_IT.txt" 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다.

[그림 5] 복호화 안내 문구[그림 5] 복호화 안내 문구







4. 결론

이번 보고서에서 알아 본 ‘Cryp70n1c Army Ransomware’ 는 공개 된 오픈소스를 기반으로 만들었기 때문에 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지는 않았지만 사용자 PC에 있는 특정 확장자를 대상으로 중요 파일을 암호화 하기 때문에 결코 가볍게만 볼 수는 없다. 이슈가 되지 않은 랜섬웨어 이더라도 항상 주의를 기울여 피해가 발생하지 않도록 하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.






Posted by nProtect

일본 기업을 표적으로 하는 Oni 랜섬웨어 유포 주의 


1. 개요 


최근, ‘NotPetya’ 과 ‘Bad Rabbit’ 등과 같이 기업을 표적으로 하는 랜섬웨어가 기승을 부리고 있다. 이번에는 일본 기업을 표적으로 하는 ‘Oni’라는 랜섬웨어가 등장해 사용자의 주의를 요하고 있다. 해당 랜섬웨어는 일본어로 쓰여진 랜섬노트가 특징이다. 파일을 암호화 한 후 확장자를 ‘. oni’로 변경하기 때문에 해당 랜섬웨어는 ‘Oni’로 명명 되었다. 


이번 분석 보고서에서는 ‘Oni’ 랜섬웨어 유포 사례를 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Oni.exe

파일크기

99,840 byte

진단명

Ransom/W32.Oni.99840

악성 동작

파일 암호화










2-2. 유포 경로

해당 랜섬웨어는 ‘領收証(영수증)’ 이라는 제목의 메일에, 매크로가 포함된 악성 문서 파일을 ‘.zip’으로 압축 및 첨부하여 주로 일본 기업 등에 유포되고 있는 것으로 확인된다. 메일을 받은 사용자가 압축을 풀고 문서를 열면 매크로가 실행되어 감염되기 때문에 사용자가 무의식적으로 해당 파일을 다운로드하고 압축해제 및 실행할 가능성이 높아 각별한 주의가 필요하다.


[그림 1] 이메일 유포 사례 (출처: Cybereason)[그림 1] 이메일 유포 사례 (출처: Cybereason)




2-3. 실행 과정

실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.oni’라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 ‘!!!README!!!.html’ 라는 파일명의 랜섬노트를 생성한다. 해당 html파일을 실행하면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. (랜섬노트를 번역한 내용은 [표 1]과 같다.)


[그림 2] “Oni” 랜섬노트[그림 2] “Oni” 랜섬노트


 

원문

번역

랜섬노트

내용

すべてのファイルは、RSA-2048およびAES-256で暗化されています。

心配しないで、すべてのファイルを元にすことができます。

すべてのファイルを素早く安全に復元できることを保します。

ファイルを回復する手順については、お問い合わせ。

性を明するために、2ファイルを無料で解できます。

ファイルと個人IDを私たちにお送りください。

(ファイルサイズ10MB、機密情報なし)

모든 파일은 RSA-2048 AES-256암호로 암호화되고 있습니다.

걱정하지 말고, 모든 파일을 되돌릴 수 있습니다.

모든 파일을 재빨리 안전하게 복원할 수 있음을 보증합니다.

파일을 회복하는 절차에 대해서는 문의.

신뢰성을 증명하기 위해서, 2파일을 무료로 되살릴 수 있습니다. 파일과 개인 ID를 우리에게 보내세요.

(파일 사이즈 10MB미만, 기밀 정보 없음)

[ 1] 랜섬노트 내용






3. 악성 동작


3-1. 파일 암호화 및 프로세스 종료

해당 랜섬웨어는 존재하지 않는 확장자를 포함한 모든 확장자에 대해서 암호화 동작을 수행하고 원본 확장자 뒤에 ".oni"라는 확장자를 덧붙인다. 그리고 아래 [표2]와 같이 특정 폴더에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

암호화 대상 제외 문자열

“Windows”

“Microsoft”

“Microsoft Help”

“Windows App Certification Kit”

“Windows Defender”

“ESET”

“COMODO”

“Windows NT”

“Windows Kits”

“Windows Mail”

“Windows Media Player”

“Windows Multimedia Platform”

“Windows Phone Kits”

“Windows Phone Silverlight Kits”

“Windows Photo Viewer”

“Windows Portable Devices”

“Windows Sidebar”

“Windows PowerShell”

“Temp”

“NVIDIA Corporation”

“Microsoft.NET”

“Internet Explorer”

“Microsoft Shared”

“Common Files”

“McAfee”

“Avira”

“spytech software”

“sysconfig”

“Avast”

“Dr.Web”

“Symantec”

“Symantec_Client_Security”

“system volume information”

“AVG”

“Outlook Express”

“Movie Maker”

“Chrome”

“Mozilla Firefox”

“Opera”

“YandexBrowser”

“ntldr”

“wsus”

“Wsus”

[2] 암호화 제외 경로 문자열


[그림 3] 파일 암호화[그림 3] 파일 암호화




또한 현재 사용자가 사용중인 파일들도 암호화 하기 위하여 메일, 데이터베이스와 관련된 특정 프로세스들을 검색한 뒤 종료 한다. 검색 및 종료 대상 프로세스는 다음과 같다.


구분

내용

대상 프로세스

"ssms", "sql", "outlook" , "postgre"

[3] 검색 및 종료 대상 프로세스




3-2. 볼륨 쉐도우 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.  


[그림 4] 볼륨 쉐도우 삭제[그림 4] 볼륨 쉐도우 삭제




3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 사용자에게 이메일주소를 안내하고, 암호화된 파일을 복호화 하기 위한 방법으로개인 식별 키를 첨부하여 메일을 보내라는 내용을 담고있다. 하지만 이메일을 보내면 암호화를 풀어주는 조건으로 비트코인등 금전을 요구 할 것으로 보여진다.






4. 결론

과거 불특정 다수를 상대로 한 랜섬웨어 공격이 현재 기업을 대상으로 공격하는 시도가 늘어나고 있다. 이번 보고서로 알아본 Oni 랜섬웨어는 일본 기업 대상으로 유포되었기 때문에 국내 사용자들에게는 잘 알려지지 않았지만, 랜섬웨어 특성 상 특정 국가에 국한되지 않고 감염이 되면 모든 파일을 암호화하기 때문에 국내 사용자 역시 큰 피해로 이어질 수 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

상기 악성 코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus / Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능




Posted by nProtect

[주의] 이번엔 유럽을 상대로 한 ‘BadRabbit Ransomware’ 감염 주의



1. 개요 


최근, 한국어 시스템을 노린 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 발견 된 지 얼마 지나지 않은데 이어서 이번엔 유럽국가를 상대로 공격을 시도한 ‘BadRabbit Ransomware’ 가 새롭게 발견 되었다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 터키, 독일, 불가리아 등이다.


‘BadRabbit Ransomware’ 에 감염이 되면 대상이 되는 파일을 암호화 할 뿐 아니라, 정상적으로 PC를 사용하지 못하도록 MBR영역까지 수정하기 때문에 국내 사용자도 각별한 주의가 필요하다.


이번 보고서에서는 ‘Adobe Flash Player’ 설치 파일로 위장한 ‘BadRabbit Ransomware’ 에 대해서 알아보고자 한다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

FlashUtil.exe (Adobe Flash Player 설치파일 위장)

파일크기

441,899 byte

진단명

Ransom/W32.BadRabbit.441899

악성동작

드롭퍼










구분

내용

파일명

Infpub.dat

파일크기

410,760 byte

진단명

Ransom/W32.BadRabbit.410760

악성동작

드롭퍼, 파일 암호화, 네트워크 전파











구분

내용

파일명

cscc.dat

파일크기

181,448 byte

동작

디스크 암호화에 사용되는 정상 드라이버









구분

내용

파일명

dispci.exe

파일크기

142,848 byte

진단명

Ransom/W32.BadRabbit.142848

악성동작

MBR 감염













2-2. 유포 경로

‘BadRabbit Ransomware’ 는 사용자가 특정 웹사이트를 방문하였을 때 Drive By Download 방식으로 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어의 원본 실행 파일은 ‘Adobe Flash Player’ 설치 파일로 위장되어 있으며 이 파일이 실행되면 “C:\Winodws\” 경로에 실제 악성 동작을 수행하는 ‘infpub.dat’, ‘dispci.exe’, ‘cscc.dat’ 파일들이 드롭 되어 실행 된다.


그 후 실행된 파일들은 각각의 역할에 따라 사용자 PC의 파일을 찾아 암호화 동작을 수행하거나, 부트 영역을 수정한다. 그리고 해당 작업들이 완료 되면 작업 스케줄러에 등록되어 있는 재부팅 명령에 따라 PC를 재부팅 한다.


재부팅 된 사용자 PC의 부트영역에는 암호화된 파일에 대하여 복호화 하기 위한 방법을 안내하고 있으며 Tor브라우저를 이용하여 비트 코인을 지불하라는 안내문이 작성되어 있는 것을 확인 할 수 있다.


[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일


 




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 하지만 최근 발견된 랜섬웨어들이 원본 파일명을 변경하거나 특정 문자열을 확장자 뒤에 덧붙였던 방법과는 다르게 확장자는 변경되지 않으며 손상된 파일로 표시된다. 손상된 파일을 확인하면 다음과 같이 ‘encrypted’ 라는 특정 시그니처가 추가 된 것을 확인 할 수 있다.


[그림 2] 암호화 된 파일[그림 2] 암호화 된 파일




암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

[1] 암호화 대상 파일 확장자



3-2. 네트워크 감염

‘BadRabbit Ransomware’ 는 더 많은 피해를 발생시켜 금전적 이득을 취하기 위해 감염 된 PC와 연결 된 네트워크를 대상으로 원본 악성코드 전파를 시도 한다. 


[그림 3] 동일 대역 네트워크 검색[그림 3] 동일 대역 네트워크 검색





동일한 네트워크상에 있는 다른 PC들의 IP들을 순차적으로 확인하여 SMB에 설정한 암호가 취약한지 코드 내부에 있는 임의의 계정 및 패스워드를 대입한다. 만약 SMB에 설정한 암호와 대입한 계정 및 패스워드가 일치 할 경우 추가적으로 악성코드를 ADMIN$ 공유폴더에 생성한다


[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파


 


또한, ‘ADMIN$’ 공유 폴더를 이용하여 성공적으로 악성코드를 생성 시켰다면 동일 네트워크 상에 있는 다른 PC에서 ‘wmic’ 명령어를 통해 원격호스트에서 해당 랜섬웨어를 실행되도록 한다. 


[그림 5] ‘wmic.exe’ 를 이용한 원격 실행[그림 5] ‘wmic.exe’ 를 이용한 원격 실행





3-3. 부트 영역 변조

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리나 작업 스케줄러에 암호화 동작을 수행하는 파일을 등록하였던 반면, 해당 랜섬웨어는 MBR영역을 변조하기 위해 아래 [그림 6]와 같이 재부팅 명령을 수행하거나 MBR영역을 변조하는 dispci.exe 파일을 실행하도록 한다.


[그림 6] 등록된 예약 작업[그림 6] 등록된 예약 작업




그리고 파일 암호화가 완료 되면 작업 스케줄러에 등록되어 있는 실행 시간과 명령어가 실행되어 감염 된 PC를 재부팅 한다. 재부팅 후 변조 된 부트영역을 통하여 사용자에게 파일이 암호화 되어 있음을 보여준다.


[그림 7] 감염 된 사용자 PC 부팅 화면[그림 7] 감염 된 사용자 PC 부팅 화면





3-4. 결제 유도

암호화가 완료되면 ‘Readme.txt’ 라는 랜섬 노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 8] 랜섬 노트[그림 8] 랜섬 노트




랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트 코인을 지불하라는 내용을 포함하고 있다.


[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내





4. 결론

이번 보고서에서 알아 본 ‘BadRabbit Ransomware’ 는 현재까지 주로 유럽국가를 상대로 공격을 시도하고 있다. 하지만 해당 랜섬웨어는 파일 암호화 뿐만 아니라 부트 영역을 감염 시켜 사용자를 불편하게 만들고 SMB를 이용한 네트워크 감염을 시도하기 때문에 국내 사용자도 안심 할 순 없다. 일단 감염이 되면 같은 네트워크를 사용하는 공공기관 및 회사에서 큰 피해를 줄 수 있을 것으로 보여 각별한 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면










Posted by nProtect

한국 겨냥한 ‘Magniber(=MyRansom) Ransomware’ 감염 주의


1. 개요 


최근, 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 유포되고 있다. 이 랜섬웨어는 Magnitude 와 악명높은 Cerber 랜섬웨어의 합성어로 Magnitude 익스플로잇킷을 이용하여 유포하는 Cerber의 변형된 랜섬웨어이다. 일반적인 랜섬웨어가 여러국가의 불특정 다수를 상대로 유포하여 감염 시키는 것과 달리, 해당 랜섬웨어는 국내 사용자들을 대상으로 암호화하는 동작을 보여주고 있어 사용자들의 각별한 주의가 요구되고 있다.


이번 보고서에서는 한국을 겨냥한 ‘Magniber Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Magniber.exe

파일크기

218,112 byte

진단명

Ransom/W32.Magniber.218112

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

‘Magniber Ransowmare’ 는 ‘Magnitude EK’ 을 이용한 ‘멀버타이징(Malvertising)’ 방식으로 유포되고 있는 것으로 확인 된다. 이 방식은, 정상적인 웹사이트를 방문하던 사용자가 해당 사이트에 포함되어 있는 광고를 함께 로드하면서 해당 사용자가 스크립트가 삽입된 도메인으로 리다이렉트 되고 다시 ‘Magnitude EK’ 도메인으로 리다이렉트 되는 것을 말하며 이를 악용하여 악성코드에 감염되도록 한다.



2-3. 실행 과정

해당 랜섬웨어 파일이 실행되면, 일반적인 랜섬웨어가 운영체제의 언어에 상관없이 암호화 동작을 수행하였던 반면, ‘Magniber Ransomware’ 는 운영체제가 한국어로 되어 있을 경우에만 암호화 동작을 수행하는 것으로 확인된다. 만약 한국어 이외의 운영체제에서 실행 될 경우 암호화 동작을 수행하지 않고 삭제 된다.




3. 악성 동작


3-1. 대상 운영체제 확인

‘Magniber Ransowmare’ 는 일반적인 랜섬웨어 동작과는 다르게 실행 시 다음과 같이 OS의 언어를 확인하여 암호화 동작을 수행할지 여부를 결정 하도록 한다.


[그림 1] 운영체제 언어 확인[그림 1] 운영체제 언어 확인



[그림 2] 대상이 아닐 경우 삭제[그림 2] 대상이 아닐 경우 삭제





3-2. 작업 스케줄러 등록

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리에 등록을 했던 반면, 해당 랜섬웨어는 작업 스케줄러에 다음과 같이 등록하여 재부팅 하고 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.또한 랜섬노트 메시지를 15분 간격으로 보여준다.


[그림 3] 등록된 예약 작업[그림 3] 등록된 예약 작업





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명과 동일한 이름의 확장자를 덧붙인다. 

[그림 4] 대상 파일 암호화[그림 4] 대상 파일 암호화



[그림 5] 는 암호화 된 사용자 파일을 보여준다. ‘Magniber Ransowmare’ 는 유포된 날짜에 따라 원본 파일 이름이 다르기 때문에 확장자 명이 아래와 다를 수 있다.


[그림 5] 암호화 된 파일[그림 5] 암호화 된 파일



암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf,

dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm,

pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi,

vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp,

brd, sch, dch, dip, vb, vbs, ps1, js, asm, pas, cpp, cs, suo, sln, ldf, mdf, ibd, myi, myd,

frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg,

uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw,

ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx,

db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib,

ma, lwo, lws, m3d, mb, obj, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft,

ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf,

db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx,

dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb,

his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2,

ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm,

phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str,

tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr,

 cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean,

bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err,

etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn,

fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf kes,

klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map,

mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt,

psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf,

sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab,

tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt,

vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri,

wsc, wsd, wsh, wtx xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif,

agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss,

bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2,

dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax,

fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d,

icn, icon, icpr, iiq, info, ipx, itc2, iwi, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2,

jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo,

mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt,

cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf,

egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7,

ft8, ft9, ftn, fxg , gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf,

mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1,

sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar,

ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi,

pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5,

ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu,

rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld,

sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak,

tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv,

3g2, mkv, 3gp, mp4, mov avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

[표 1] 암호화 대상 파일 확장자


그리고 해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명에 대해서는 암호화 동작을 수행하지 않는다.

[그림 6] 암호화 제외 대상 폴더[그림 6] 암호화 제외 대상 폴더





3-4. 랜섬 노트

암호화가 진행된 후 대상 폴더에는 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 7] 복호화 안내 문구[그림 7] 복호화 안내 문구



랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트코인을 지불하라는 내용을 포함하고 있다.


[그림 8] 복호화 안내 문구[그림 8] 복호화 안내 문구





4. 결론


이번 보고서에서 알아 본 ‘Magniber Ransomware’는 국내 사용자 OS환경을 대상으로 공격을 시도 하였기 때문에 어느때 보다도 각별한 주의가 필요하다. 또한 최근까지 국내 웹사이트를 이용하여 유포되는 정황이 포착되고 있기 때문에 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.






Posted by nProtect

‘Onion3Cry Ransomware’ 감염 주의


1. 개요 


최근 몇 년 사이, 악성코드 제작자들은 악성코드 중에서도 사용자의 중요 파일을 인질로 삼아 금전을 요구하는 랜섬웨어를 수없이 많이 만들어 유포하고 있다.


과거에도 사용자의 PC를 정상적으로 사용할 수 없게 만드는 악성코드는 무수히 많았지만, 금전을 요구하였을 때 거래 추적이 가능했기 때문에 쉽게 금전을 요구하지 못했을 것으로 추측된다.


하지만 비트코인의 발전으로 거래추적이 어렵다는 점을 악용한 사이버 범죄가 기승을 부리고 있어, 이 문제가 해결되지 않는다면 랜섬웨어 또한, 끊임없이 제작되고 발견되어 피해는 계속해서 일어날 것으로 보인다.


이번 보고서에서는 여러 확장자를 암호화하는 ‘Onion3Cry Ransomware’ 에 대하여 간략하게 알아보도록 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

임의의 파일명.exe

파일크기

404,307 byte

악성동작

드롭퍼, 파일 암호화, 금전 요구








구분

내용

파일명

goupdate.exe

파일크기

37,376 byte

악성동작

파일 암호화, 금전 요구








구분

내용

파일명

winupdate.exe

파일크기

37,376 byte

악성동작

가짜 윈도우 업데이트 표시








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 "C:\Users\inca\AppData\Roaming\Local\Gogle\" 경로에  update 이름의 폴더를 생성 하고 실제 암호화 동작을 수행하는 'goupdate.exe' 'winupdate.exe' 파일이 드롭 되어 실행 된다. 


그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.onion3cry-open-DECRYPTMYFILES' 확장자를 덧붙인다. 


[그림 1] 사용자를 속이는 윈도우 업데이트 화면[그림 1] 사용자를 속이는 윈도우 업데이트 화면





3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 파일암호화와 랜섬노트 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 링크 생성[그림 2] 시작 프로그램 경로에 링크 생성




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘. onion3cry-open-DECRYPTMYFILES’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] AES-256 암호화[그림 3] AES-256 암호화


[그림 4] 파일 암호화[그림 4] 파일 암호화


구분

내용

암호화 대상 파일

확장자

".index", ".zip",".rar",".css",".xlsx",".ppt",".pptx",".odt",".jpg",".bmp",".png",".csv",".sql",

".mdb",".sln",".php",".asp",".aspx",".xml",".psd",".bk",".bat",".mp3",".mp4",".wav",

".wma",".avi",".divx",".mkv",".mpeg",".wmv",".mov",".ogg",".tmp",".xlxx",".docxx",

".msi",".dbx",".txt",".pst",".doc",".docx",".xls",".jpg",".pst",".pdf",".MP4",".gbk",".ico",

".xls",".dat",".JPG",".mdw",".REC",             ".DEC",".cns",".RE"

[1] 암호화 대상 파일 확장자



3-3. 랜섬 노트

암호화가 진행되면서 대상 폴더에는 "### DECRYPT MY FILES ###.exe" 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 비트코인에 대한 내용과 함께 특정 이메일로 문의하라는 내용을 포함하고 있다.


[그림 5] 복호화 안내 문구[그림 5] 복호화 안내 문구




4. 결론


이번 보고서에서 알아 본 ‘Onion3Cry Ransomware’ 는 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지는 않았지만 사용자 PC에 있는 중요 파일들에 대해서 암호화 동작을 수행하기 때문에 결코 가볍게만 볼 수는 없다. 이슈가 되지 않은 랜섬웨어라도 항상 주의를 기울여 피해가 발생하지 않도록 하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




Posted by nProtect