[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어



1. 개요 


현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다.


또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다.


2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다.







2. 분석 정보


2-1. 유포 경로

최초 유포는 우크라이나 세무관련 프로그램의 업데이트 프로그램 변조를 통해 유포된 것으로 추정되고 있다. 추가적으로 이메일을 통한 유포 가능성은 높지만 정확하게 확인 되지 않은 상태이다.

또한, 네트워크 전파는 SMB취약점뿐 아니라 PSEXEC와 WMIC 를 통해서도 이루어질 수 있으나, 로컬 네트워크로만 전파되는 특징을 가진다.




2-2. 실행 과정

랜섬웨어가 구동된 경우 MBR 감염을 수행하고 ‘C:\Windows’ 폴더를 제외한 모든 폴더를 대상으로 특정 확장자의 파일을 암호화 한다. 암호화 된 후 확장명을 변경하지는 않는다. 특정 시간 이후에 재부팅이 되도록 시스템이 설정된다. 재부팅 이후 가짜 CHKSDK 화면을 출력하며 화면이 출력하는 동안 MFT 암호화를 진행할 것으로 추정된다.


[그림 1] 가짜 CHKSDK 화면[그림 1] 가짜 CHKSDK 화면






3. 악성 동작


3-1. MBR 파괴

[그림2] MBR 파괴 전과 후 비교[그림2] MBR 파괴 전과 후 비교




3-2. 파일 암호화

해당 랜섬웨어는 C:\windows 를 제외한 모든 폴더에 다음 표에 확장자를 가진 파일에 대해 암호화를 시도한다

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상
파일

확장자

.3ds  .7z  .accdb  .ai  .asp  .aspx  .avhd  .back  .bak  .c  .cfg  .conf  .cpp.cs  .ctl  .dbf  .disk  .djvu  .doc  .docx  .dwg  .eml  .fdb  .gz  .h  .hdd .kdbx  .mail  .mdb  .msg  .nrg  .ora  .ost  .ova  .ovf  .pdf  .php  .pmf  .ppt  .pptx  .pst  .pvi  .py  .pyc  .rar  .rtf  .sln  .sql  .tar  .vbox  .vbs  .vcb  .vdi  .vfd  .vmc  .vmdk  .vmsd  .vmx  .vsdx  .vsv  .work  .xls  .xlsx  .xvd  .zip

[ 1] 암호화 대상 확장자



파일 암호화는 AES를 사용하며, AES키는 RSA로 암호화 되어 저장된다.



3-3. 금전 요구

암호해제 비용으로는 $300을 비트코인으로 요구하고 있으며, 비트코인 지불 후 개인고유키와 지불한 비트코인 월렛 아이디를 이메일로 보낼 것을 요구한다.


하지만, 이메일 제공사인 posteo사에서 계정을 정지시켜 놓은 상태이므로 복호화 키를 받는 것은 불가능하다. 따라서 랜섬웨어에 감염되었다고 비트코인을 지불해서는 안된다.   


만약 해당 랜섬웨어에 감염되었다면, 랜섬웨어에 의해 재부팅 되기 전 컴퓨터를 종료하고 전문가에게 도움을 요청해야 피해를 최소화 할 수 있다.


[그림 3] 랜섬노트[그림 3] 랜섬노트






4. 결론

이번 Petya 랜섬웨어 변종은 WanaCryptpr 랜섬웨어와 같이 Eternal Blue 취약점을 공격하는 방식이 추가되었다. Petya 랜섬웨어는 지속적으로 변종이 발견되고 있으며 시간이 흐를수록 더 위험성이 높아지고 있다. 


이번 Petya 랜섬웨어에서 새로 추가된 전파 기법은 이전 WanaCryptor 에서 이미 이슈화 되었지만, 해당 취약점에 대한 업데이트가 아직 미흡하여 많은 피해를 입힌 것으로 보인다. 앞으로도 동일한 취약점 뿐 만 아니라 다른 취약점을 이용한 악성코드들이 발견 될 가능성이 많기 때문에 항상 최신 업데이트를 유지해야 할 것이다.



Petya 랜섬웨어 예방방법

  • MS17-010 을 포함한 Windows를 최신 업데이트를 적용한다.
  • SMBv1 비활성화 또는 445 port를 차단한다. 
  • (https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)
  • 백신을 최신상태로 유지한다.
  • 중요정보의 경우 주기적으로 백업한다.

아울러, 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0의 MBR 보호 기능을 사용하면 MBR 변조를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

페이스북 아이콘으로 위장한 ‘KKK 랜섬웨어’ 감염 주의



1. 개요 


‘KKK(Ku Klux Klan)’ 란 백인 우월주의, 반유대주의, 인종차별, 동성애 반대 등을 표방하는 미국의 극우 비밀 결사 단체로 알려져 있다. 


최근, 이러한 특정 단체 문양이 사용된 랜섬웨어인 일명 ‘KKK랜섬웨어’가 발견되어 사용자의 주의가 필요하다. 해당 단체와 KKK랜섬웨어의 연관성은 확인되지 않았지만, 여타 랜섬웨어와 같이 파일 암호화 후 비트코인을 요구하며 페이스북 아이콘으로 위장하고 있어 파일명이 변경돼 유포될 경우 쉽게 감염될 것으로 보인다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

KKK.exe(임의의 파일명)

파일크기

296,960 Byte

악성동작

파일 암호화, 금전 요구




2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일 등에서 유포된 것으로 추정된다.




2-3. 실행 과정

해당 랜섬웨어는 페이스북 아이콘으로 위장하고 있으며 파일의 설명 또한 ‘Facebook’ 으로 표기되어 있다. 이를 실행 하였을 때 파일 암호화가 진행된 후, ‘iexplore.exe’를 자동 실행하여 [그림 1]과 같은 화면을 사용자에게 보여준다. 


[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-256 알고리즘을 사용하여 암호화 한 뒤 ‘.KKK’ 라는 확장자를 덧붙인다. 


[그림 2] AES-256 암호화[그림 2] AES-256 암호화



[그림 3] 원본 파일 확장자에 ‘.KKK’ 덧붙이는 부분[그림 3] 원본 파일 확장자에 ‘.KKK’ 덧붙이는 부분




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [ 1]과 같다.

구분

내용

암호화 대상 파일

확장자

".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd", ".cmd", ".bat", ".kys", ".URL"

[ 1] 암호화 대상 확장자



[그림 4] 암호화 된 파일 확장자 및 랜섬노트[그림 4] 암호화 된 파일 확장자 및 랜섬노트




3-2. 금전 요구

파일 암호화가 완료되면 KKK랜섬웨어는 [그림 5]와 같이 암호화된 파일에 대하여 금전을 요구하는 실행파일을 띄운다.

해당 실행 파일에서는 ‘Payment’ 와 ‘Information’ 버튼이 있으며, 각각 지불요구와 경고메시지를 보여준다.


[그림 5] 지불 유도 정보 창[그림 5] 지불 유도 정보 창




경고 메시지에서는 아래 [그림 6]과 같이 랜섬웨어에 감염되었음을 알려준다.


[그림 6] 감염 경고 메시지[그림 6] 감염 경고 메시지




‘KKK’ 랜섬웨어는 암호화 된 파일에 대해서 ‘0.05’ 비트코인을 요구하고 있으며, 지불할 의사가 있으면 ‘Check Payment’ 버튼을 클릭하여 다음 단계로 유도한다.


[그림 7] Bit Coin 지불 요구[그림 7] Bit Coin 지불 요구




그리고 ‘KKK’ 랜섬웨어는 사용자PC의 바탕화면에 .TXT 형식의 랜섬노트를 생성하여 파일이 암호화 되었음을 다시 한번 상기 시켜준다.


[그림 8] 텍스트 형식의 랜섬노트 생성[그림 8] 텍스트 형식의 랜섬노트 생성






4. 결론

이번에 확인 하였던 ‘KKK’ 랜섬웨어는 암호화 수행만 할 뿐 그 외 부수적인 악성 동작이 확인되지 않았기에 여타 랜섬웨어과 비교하였을 때, 완성도가 높지 않은 것으로 보인다. 


하지만 완성도가 낮은 랜섬웨어라고 해도 랜섬웨어로 인한 피해 사례가 늘어나고 있으며, 해당 랜섬웨어는 사용자들에게 친숙한 페이스북을 위장하고 있어 각별한 주의가 필요하다. 따라서 페이스북과 같이 알려진 파일아이콘과 파일명을 가지고 있는 파일은 감염 예방을 위해 안티바이러스 검사로 다시 한번 확인하고 사용하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다



1. 개요 


지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다.


‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다.


타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈도우 운영체제뿐만 아니라 리눅스 운영체제에 대해서도 보안에 각별한 주의를 기울여야 할 것이다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Erebus (ELF파일)

파일크기

487,166 Byte / 429,144 Byte

악성동작

파일 암호화, 금전 요구

 

[그림 1] ‘Erebus’ 파일 정보[그림 1] ‘Erebus’ 파일 정보




2-2. 유포 경로

지난 2월 국내에서 처음으로 발견되었으며 복구 비용으로 약 10만원정도의 금액을 요구하여 저렴한 랜섬웨어로 알려져 왔다. 최근 리눅스 서버를 대상으로 공격을 시도 한 변종 ‘Erebus’ 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.




2-3. 실행 과정

최근에 발견된 ‘Erebus’ 변종 랜섬웨어에 감염이 되면 해당 PC의 주요 경로들을 탐색하여 대상이 되는 파일에 대하여 암호화 동작을 수행한다. 그리고 원본파일명을 변경한 후 ‘.ecrypt’로 확장자를 덧붙인다. 암호화 된 파일 경로에는 아래와 같이 .html 및 txt형식의 랜섬노트가 생성된다는 것을 확인 할 수 있다.


[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화를 수행하고 암호화가 완료되면 원본파일명을 변경한다. 또한 암호화된 파일에 대해서 ‘.ecrypt’ 로 변경한다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일

확장자

"tar","gz","tgz","taz","bz","tbz","bz2","lz","lzma","lz4","contact","dbx","doc","docx","jnt"

,"jpg","mapimail","msg","oab","ods","pdf","pps","ppsm","ppt","pptm","prf","pst","rar",

"rtf","txt","wab","xls","xlsx","xml","zip","1cd","3ds","3g2","3gp","7z","7zip","accdb","aoi",

"asf","asp","aspx","asx","avi","bak","cer","cfg","class","config","css","csv","db","dds","dwg",

"dxf","flf","flv","html","idx","js","key","kwm","laccdb","ldf","lit","m3u","mbx","md","mdf",

"mid","mlb","mov","mp3","mp4","mpg","obj","odt","pages","php","psd","pwm","rm",

"safe","sav","save","sql","srt","swf","thm","vob","wav","wma","wmv","xlsb","3dm","aac",

"ai","arw","c","cdr","cls","cpi","cpp","cs","db3","docm","dot","dotm","dotx","drw","dxb",

"eps","fla","flac","fxg","java","m","m4v","max","mdb","pcd","pct","pl","potm","potx","ppam",

"ppsm","ppsx","pptm","ps","pspimage","r3d","rw2","sldm","sldx","svg","tga","wps","xla",

"xlam","xlm","xlr","xlsm","xlt","xltm","xltx","xlw","act","adp","al","bkp","blend","cdf","cdx",

"cgm","cr2","crt","dac","dbf","dcr","ddd","design","dtd","fdb","fff","fpx","h","iif","indd"

,"jpeg","mos","nd","nsd","nsf","nsg","nsh","odc","odp","oil","pas","pat","pef","pfx","ptx",

"qbb","qbm","sas7bdat","say","st4","st6","stc","sxc","sxw","tlg","wad","xlk","aiff","bin",

"bmp","cmt","dat","dit","edb","flvv","gif","groups","hdd","hpp","log","m2ts","m4p","mkv",

"mpeg","ndf","nvram","ogg","ost","pab","pdb","pif","png","qed","qcow","qcow2","rvt","st7",

"stm","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","3fr","3pr","ab4","accde","accdr",

"accdt","ach","acr","adb","ads","agdl","ait","apj","asm","awg","back","backup","backupdb",

"bank","bay","bdb","bgt","bik","bpw","cdr3","cdr4","cdr5","cdr6","cdrw","ce1","ce2","cib",

"craw","crw","csh","csl","db_journal","dc2","dcs","ddoc","ddrw","der","des","dgc","djvu","dng",

"drf","dxg","eml","erbsql","erf","exf","ffd","fh","fhd","gray","grey","gry","hbk","ibank","ibd","ibz",

"iiq","incpas","jpe","kc2","kdbx","kdc","kpdx","lua","mdc","mef","mfw","mmw","mny","moneywell",

"mrw","myd","ndd","nef","nk2","nop","nrw","ns2","ns3","ns4","nwb","nx2","nxl","nyf","odb","odf",

"odg","odm","orf","otg","oth","otp","ots","ott","p12","p7b","p7c","pdd","pem","plus_muhd",

"plc","pot","pptx","psafe3","py","qba","qbr","qbw","qbx","qby","raf","rat","raw","rdb","rwl",

"rwz","s3db","sd0","sda","sdf","sqlite","sqlite3","sqlitedb","sr2","srf","srw","st5","st8","std","sti",

"stw","stx","sxd","sxg","sxi","sxm","tex","wallet","wb2","wpd","x11","x3f","xis","ycbcra","yuv",

"mab","json","ini","sdb","sqlite-shm","sqlite-wal","msf","jar","cdb","srb","abd","qtb","cfn",

"info","info_","flb","def","atb","tbn","tbb","tlx","pml","pmo","pnx","pnc","pmi","pmm","lck",

"pm!","pmr","usr","pnd","pmj","pm","lock","srs","pbf","omg","wmf","sh","war","ascx","tif"

[ 1] 암호화 대상 확장자





3-2. 금전 요구

파일 암호화가 완료되면 ‘Erebus’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구하는 랜섬노트를 생성한다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다.


[그림 4] 텍스트 형식의 랜섬노트[그림 4] 텍스트 형식의 랜섬노트




해당 페이지에서는 ‘Erebus’ 랜섬웨어 결제 안내페이지를 이용하기 위해 암호화 된 파일에 대한 정보를 기입하도록 유도하고 있다.


[그림 5] Tor 브라우저 접속[그림 5] Tor 브라우저 접속





4. 결론

이번에 확인한 ‘Erebus’ 랜섬웨어를 통해 랜섬웨어가 윈도우 운영체제 외에도 리눅스 운영체제를 대상으로 공격을 시도할 수 있다는 것을 알 수 있다.


또한, 리눅스 운영체제에서 동작할 수 있는 다른 유형의 랜섬웨어 공격이 발생할 여지가 있기 때문에, 리눅스 서버 담당자 및 일반 리눅스 사용자들은 각별히 주의하여 피해가 발생하지 않도록 주의 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의



1. 개요 


최근 전세계를 대상으로 공격을 감행한 ‘워너크라이’ 랜섬웨어로 인하여 어느때보다 언론 및 일반 PC사용자들이 악성코드에 대한 관심이 높아지고 있다.


‘DMA Locker 4.0’ 랜섬웨어는 새로 발견된 랜섬웨어는 아니지만, 아이콘이 PDF형태이고 원격지에서 암호화에 사용되는 공개키와 함께 명령문을 전달받아 동작을 수행하므로 사용자의 주의가 필요하다. 


현재 분석시점에서는 원격지와의 연결이 원활하지 않아 암호화 동작을 수행하고 있지 않지만 감염된 PC에서 악성코드가 프로세스에 상주해 있기 때문에 원격지와 연결이 된다면 언제든지 암호화가 가능할 것으로 보인다.


이번 보고서에서는 ‘DMA Locker 4.0’ 랜섬웨어의 주요 동작을 알아보고자 한다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

svchosd.exe

파일크기

344,064 Byte

진단명

Ransom/W32.DmaLocker.344064

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

현재 발견 된 ‘DMA Locker 4.0’ 랜섬웨어는 스팸메일이나 무료 다운로드 웹사이트의 첨부파일을 다운로드하였을 때 PDF형태의 아이콘으로 위장되어 있어 사용자가 이를 실행할 경우 감염된다. 


여타 랜섬웨어 같은 경우 실행됨과 동시에 암호화 동작을 수행하여 바탕화면을 변경시키지만, 해당 랜섬웨어 같은 경우 ‘svchost.exe’와 유사한 이름의 ‘svchosd.exe’ 프로세스를 실행하여 원격지와 통신을 시도한다. 원격지에서 명령을 전달받은 경우 암호화 동작을 수행하여 비트코인을 요구하는 것으로 확인 된다.


[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면





3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 ‘svchosd.exe’ 실행파일을 ‘Windows Firewall’ 이라는 이름으로 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하여도 로그온하면 다시 실행 되도록 한다. 


[그림 2]  자동 실행[그림 2] 자동 실행







3-2. 파일 암호화

‘DMA Locker 4.0’ 랜섬웨어는 파일 암호화에 사용되는 공개키를 랜섬웨어 실행파일에 포함시키지 않고 개별ID와 함께 다운로드 되어 레지스트리에 저장한 후 암호화에 사용되고 있는 것으로 확인 된다. 


하지만, 현재 분석시점에서는 원격지로부터 개별ID와 함께 공개키가 다운로드 되지 않기 때문에 실제 파일 암호화를 수행하고 있지 않다.


[그림 3] 데이터 수신[그림 3] 데이터 수신



[그림 4] 개별 ID와 공개키 저장[그림 4] 개별 ID와 공개키 저장




해당 랜섬웨어는 사용자 PC를 탐색하며 아래 [표1]에 해당하는 폴더명과 확장자를 제외한 나머지 모든 확장자에 대해서 암호화 동작을 수행하는 것으로 확인 된다. 


구분

내용

암호화 제외 대상

폴더

“\Windows\”

“\WINDOWS\”

“\Program Files\”

“\Program Files (x86)\”

“Games”

“\Temp”

“\Sample Pictures”

“\Sample Music”

“\cache”

“\Cache”

암호화 제외 대상

파일 확장자

“.exe”, “.msi”, “.dll”, “.pif”, “.scr”, “.sys”, “.msp”, “.com”, “.lnk”,

“.hta”, “.cpl”, “.msc”, “.bat”, “.cmd”, “.scf”

[ 1] 암호화 제외 대상 폴더 및 확장자




또한, 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 다음과 같이 “!DMALOCK4.0” 시그니처를 추가 한다.


[그림 5] 암호화 된 파일에 시그니처 추가[그림 5] 암호화 된 파일에 시그니처 추가





3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 


[그림 6] 시스템 복원 기능 무력화[그림 6] 시스템 복원 기능 무력화





3-4. 금전 요구

파일 암호화가 완료되면 ‘DMA Locker 4.0’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구한다. 여타 랜섬웨어들이 추적을 어렵게 하기 위해 Tor브라우저를 사용하는 반면 해당 랜섬웨어는 피해자의 개별아이디를 덧붙인 URL을 제공하고 있다. 하지만 현재 분석시점에서는 해당 웹사이트로 접근이 되고 있지 않아 자세한 내용은 확인되지 않고 있다.


[그림 7] 텍스트 형식의 랜섬노트[그림 7] 텍스트 형식의 랜섬노트




4. 결론

‘DMA Locker 4.0’ 랜섬웨어는 아직 다른 랜섬웨어에 비해 큰 피해를 일으키고 있지 않은 것처럼 보여지지만, 계속해서 업그레이드 버전을 출시하고 있기 때문에 다른 변종이 발견되어 활성화될 경우 큰 피해로 이어질지도 모른다.


최근 ‘워너크라이’ 랜섬웨어 사태로 인하여 랜섬웨어가 사회적으로 얼마나 큰 혼란을 주는지 확인되었기 때문에, 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석



1. 개요 


지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다.


기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다.


Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기 때문에 Windows 사용자들은 신속하게 긴급 패치를 조치하여야 한다. 또한, 2014년 4월 이후로 보안 업데이트 등 모든 지원이 종료된 Windows XP 및 Windows Server 2003등에 긴급보안패치도 발표하였기 때문에 사용자는 반드시 업데이트할 것을 권고한다.


이번 분석보고서에서는 일명 워너크라이로 불리는 ‘WannaCryptor’ 랜섬웨어에 대해 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mssecsvc.exe(임의의 파일명)

파일크기

3,723,264 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

SMB 취약점 공격, 숙주 파일

 


구분

내용

파일명

tasksche.exe

파일크기

3,514,368 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

Windows SMB(Server Message Block) 취약점을 악용하여 유포 되는 것으로 확인 된다. SMB 프로토콜은 네트워크에서 파일 및 프린터 등을 액세스 하는데 사용되는 프로토콜을 의미한다.



2-3. 실행 과정

‘WannaCryptor’ 랜섬웨어는 Windows SMB 원격 코드 실행 취약점을 악용하여 감염이 되기 때문에 2017년 3월 14일에 발표된 MS사의 SMB 취약점 패치를 업데이트 하지 않은 사용자 PC에 네트워크를 통하여 감염된다.

감염된 사용자 PC에서는 숙주파일이 먼저 실행이 되고, 숙주파일에서는 동일한 네트워크를 사용하고 있지만 SMB 취약점 패치를 하지 않은 다른 PC를 검색하여 또다시 유포 한다. 숙주 파일이 실행되면 “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” URL 에 접속을 시도하며, 해당 URL 에 접속하지 못할 경우, 악성동작을 수행한다. (해당 URL 은 변종마다 다를 수 있다)


해당 악성코드에 감염이 된 PC에서는 숙주파일로부터 드롭된 ‘tasksche.exe’ 파일이 실행되어 악성동작과 관련한 여러 파일을 생성하여 암호화 동작을 수행한다. 


[그림 1]  ‘WannaCryptor’ 랜섬웨어 실행 흐름[그림 1] ‘WannaCryptor’ 랜섬웨어 실행 흐름






암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경되는 것을 확인할 수 있다.


[그림 2]  ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면





3. 숙주 파일 동작


3-1. 서비스 생성

해당 악성파일은 URL을 체크 한 후에 “mssecsvc2.0” 라는 서비스를 생성한다.


[그림 3]  mssecsvc2.0 서비스 생성[그림 3] mssecsvc2.0 서비스 생성






3-2. 파일 드롭 및 실행

해당 악성코드는 다음과 같이 ‘tasksche.exe’ 라는 파일을 생성하여 ‘-i’ 인자를 주어 실행한다. 이 실행 파일은 실제 랜섬웨어 동작을 수행하는 파일이다.


[그림 4]  tasksche.exe 파일 생성[그림 4] tasksche.exe 파일 생성





3-3. 전파 방식

‘WannaCryptor’ 랜섬웨어의 숙주파일은 다른 PC들을 감염시키기 위해 랜덤으로 IP값을 생성하고 445번 port를 이용하여 감염을 시도한다. 


[그림 5] 악성코드 유포[그림 5] 악성코드 유포





4. 드롭파일 동작(tasksche.exe)


4-1. 파일 생성

‘WannaCryptor’ 랜섬웨어에 감염이 되면 숙주파일은 임의의 경로에 ‘tasksche.exe’ 파일을 드롭하고 실행한다. 그리고 드롭된 파일이 실행 되면 같은 경로에 아래 [그림 6] 과 같이 랜섬웨어와 관련된 다수의 파일을 압축해제 한다.


[그림 6] 악성파일 다수 생성[그림 6] 악성파일 다수 생성




압축해제 된 파일들의 역할은 다음과 같다. 

구분

내용

b.wnry

암호화 동작 수행 후 변경할 바탕화면 이미지 파일

c.wnry

Tor 관련 파일

f.wnry

암호화 된 파일 목록

r.wnry

랜섬노트 텍스트 파일

s.wnry

Tor 관련 압축파일

t.wnry

암화화 관련 DLL 파일 (실제 메모리에 Load되어 암호화 동작 수행)

u.wnry

랜섬노트 실행 파일 (@WanaDecryptor@.exe)

taskdl.exe

.WNCRYPT 확장자 파일목록 조회 및 삭제

taskse.exe

원격세션 관련 파일

[1] 압축 해제 된 악성코드 파일목록



압축 해제 된 파일 중 msg 하위 경로에 다음과 같이 여러 언어를 지원한다는 것을 확인 할 수 있다.


[그림 7] msg폴더 내부에 있는 국가별 언어 파일[그림 7] msg폴더 내부에 있는 국가별 언어 파일



또한 TaskData 하위 경로에는 토르(Tor)와 관련 된 파일이 생성된다. 이는 추적을 어렵게 하기 사용되는 것으로 확인된다.


[그림 8] Tor 관련 파일 생성[그림 8] Tor 관련 파일 생성





4-2. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.WNCRY’ 라는 확장자를 덧붙인다. 

구분

내용

암호화 대상 파일

확장자

".doc", ".docx", ".docb", ".docm", ".dot", ".dotm", ".dotx", ".xls", ".xlsx", ".xlsm", ".xlsb" ,".xlw", ".xlt", ".xlm", ".xlc", ".xltx", ".xltm", ".ppt", ".pptx", ".pptm", ".pot", ".pps", ".ppsm", ".ppsx", ".ppam", ".potx", ".potm", ".pst", ".ost", ".msg", ".eml", ".edb", ".vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", ".onetoc2", ".snt", ".hwp", ".602", ".sxi", ".sti", ".sldx", ".sldm", ".sldm", ".vdi", ".vmdk", ".vmx", ".gpg", ".aes", ".ARC", ".PAQ", ".bz2", ".tbk", ".bak", ".tar", ".tgz", ".gz", ".7z", ".rar", ".zip", ".backup", ".iso", ".vcd", ".jpeg", ".jpg", ".bmp", ".png", ".gif", ".raw", ".cgm", ".tif", ".tiff", ".nef", ".psd", ".ai", ".svg", ".djvu", ".m4u", ".m3u", ".mid", ".wma", ".flv", ".3g2", ".mkv", ".3gp", ".mp4", ".mov", ".avi", ".asf", ".mpeg", ".vob", ".mpg", ".wmv", ".fla", ".swf", ".wav", ".mp3", ".sh", ".class", ".jar", ".java", ".rb", ".asp", ".php", ".jsp", ".brd", ".sch", ".dch", ".dip", ".pl", ".vb", ".vbs", ".ps1", ".bat", ".cmd", ".js", ".asm", ".h", ".pas", ".cpp", ".c", ".cs", ".suo", ".sln", ".ldf", ".mdf", ".ibd", ".myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", ".sqlite3", ".asc", ".lay6", ".lay", ".mml", ".sxm", ".otg", ".odg", ".uop", ".std", ".sxd", ".otp", ".odp", ".wb2", ".slk", ".dif", ".stc", ".sxc", ".ots", ".ods", ".3dm", ".max", ".3ds", ".uot", ".stw", ".sxw", ".ott", ".odt", ".pem", ".p12", ".csr", ".crt", ".key", ".pfx", ".der"

[2] 암호화 대상 파일 확장자



암호화 된 파일은 아래와 같은 형태가 되며, “@Please_Read_Me@.txt”, “@WanaDecryptor@.exe “ 라는 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 9] 암호화 된 파일과 랜섬노트[그림 9] 암호화 된 파일과 랜섬노트





4-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화




4-4. 금전 요구

파일 암호화가 완료되면 ‘WannaCryptor’ 랜섬웨어는 암호화된 파일에 대하여 비트코인을 요구한다. 해당 랜섬웨어는 랜섬노트를 28개의 언어로 지불방법을 설명하고 있으며, 지불방법으로 $300를 비트코인으로 요구한다. 또한 주어진 시간이 지나면 복호화 비용을 두배 가격으로 올리거나 영구 삭제한다는 내용을 포함하고 있다.


[그림 11] 비트코인 요구 실행 파일[그림 11] 비트코인 요구 실행 파일



[그림 12] 텍스트 형식의 랜섬노트[그림 12] 텍스트 형식의 랜섬노트






5. 참고 공지 사항






6. 결론

이번에 전 세계적으로 발생한 ‘WannaCryptor’ 랜섬웨어 는 Windows 취약점을 악용하여 유포된다는 점에서 사용자PC의 Windows 업데이트가 얼마나 중요한지를 일깨워주는 사례로 기억 될 것으로 보인다. 여타 랜섬웨어들과는 다르게 웜의 성격을 보이는 유포 방식을 사용한다는 점에서 추가적으로 다른 악성코드와 결합된 새로운 형태의 악성코드가 발견되거나, SMB 취약점 업데이트를 미처 하지 못한 사용자들을 대상으로 한 다른 랜섬웨어의 공격이 발생할 여지가 있다. 그러므로 Microsoft에서 제공하는 Windows 보안 업데이트를 신속하게 진행 할 것을 요구한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 Windows 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며 워너크라이 랜섬웨어 취약점 점검툴인 nProtect WannaCry Checker를 통해 점검 및 임시 조치가 가능하다.


워너크라이 취약점 점검툴 nProtect WannaCry Checker 다운로드

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의



1. 개요 


전세계적으로 많은 피해를 일으키고 있는 랜섬웨어는 불과 몇 년 전까지만 해도 국내에서는 다른 악성코드에 비하여 많은 피해 신고가 접수되지 않았다. 그 이유 중 하나는, 주로 이메일에 첨부된 내용이 영문으로 작성되어 있기 때문에 사용자 입장에서는 확인을 하지 않고 무시하는 경우가 대부분 이었던 것으로 추정된다. 

하지만 근래에는 ‘연말정산 안내’, ‘영수증 첨부’ 등 한글로 교묘하게 위장한 랜섬웨어들로 인하여 국내에서 피해신고가 매년 증가하는 추세이다. 


최근 업데이트 된 ‘Sage 2.2 랜섬웨어’ 는 기존에 유포 된, ‘Sage 2.0 Ransomware’ 와 동일하게 .hwp 확장자 파일을 암호화한다는 점은 같다. 하지만, ‘Sage 2.2’ 는 이전에 지원하지 않았던 한국어 버전의 랜섬노트를 지원하기 때문에 국내 사용자들에게 한층 더 주의를 요구한다.


이번 보고서를 통하여 업데이트 된 ‘Sage 2.2 랜섬웨어’ 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Sage2.2.exe

파일크기

85,504 byte

진단명

Ransom/W32.SageCrypt.85504

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정 된다.



2-3. 실행 과정

‘Sage 2.2 랜섬웨어’ 가 실행되면 %APPDATA%에 원본 실행파일과 같은 실행 파일을 임의의 파일 명으로 드롭한다. 그리고 드롭된 파일이 실행되어 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 [그림 2], [그림 3]과 같이 변경된 것을 확인할 수 있으며, 최초 실행한 원본 파일은 %TEMP%경로에 추가로 드롭된 배치 파일로 인해 삭제 된다.


[그림 1] %temp% 경로에 드롭된 배치파일 정보[그림 1] %temp% 경로에 드롭된 배치파일 정보




‘Sage 2.0 랜섬웨어’ 의 바탕화면 랜섬노트를 비교하였을 때, 변경된 점은 글자색과 내용이 약간 다르다는 것을 확인 할 수 있다.


[그림 2] ‘Sage 2.0 랜섬웨어’ 에 감염 된 사용자 바탕화면[그림 2] ‘Sage 2.0 랜섬웨어’ 에 감염 된 사용자 바탕화면


[그림3] ‘Sage 2.2 랜섬웨어’ 에 감염 된 사용자 바탕화면[그림3] ‘Sage 2.2 랜섬웨어’ 에 감염 된 사용자 바탕화면




3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어를 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 해당 링크 파일은 %APPDATA% 하위 경로에 임의의 이름으로 복사된 랜섬웨어를 가리키고 있다.


[그림 4] 자동 실행 링크 파일 생성 (Sage2.0 버전과 동일)[그림 4] 자동 실행 링크 파일 생성 (Sage2.0 버전과 동일)





3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.sage’ 라는 확장자를 덧붙인다. 하지만 기존 ‘Sage2.0’ 버전과 다르게 아이콘이 자물쇠 모양으로 변경되는 것을 확인 할 수 있다.


[그림 5] ‘Sage 2.0 랜섬웨어’ 암호화 된 파일[그림 5] ‘Sage 2.0 랜섬웨어’ 암호화 된 파일


[그림 6] ‘Sage 2.2 랜섬웨어’ 암호화 된 파일[그림 6] ‘Sage 2.2 랜섬웨어’ 암호화 된 파일


암호화 대상이 되는 파일의 확장자는 다음과 같으며, 기존 ‘Sage 2.0랜섬웨어버전과 비교해봤을 때 동일하다.

구분

내용

암호화 대상 파일

확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img .cur .fxr

.slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf

.m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv .pdf .djvu .jpeg

.jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz .rar .ziparc .paq .bak .set .back

.std .vmx .vmdk .vdi .qcow .ini .accd .db .sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb

.mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra

.bay .pcd .dng .ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg

.uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg

.pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt

.xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm

.txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc

.odm .ppsm .xlr .odc .xlk .ppsx .obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab

.cmd .bat .h .asx .lua .pl .as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs

.asm .pas .cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf .tbk

.swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html .ico .ipe .dwg .jng

.cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl .indl

.dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst .inx .plt .idml .pmd .psp .ttf .3dm .ai

.3ds .ps .cpx .str .cgm .clk .cdx .xhtm .cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017

.tt20 .qsm .2015 .2014 .2013 .aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo

.stc .lgb .qwc .qbp .qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx

.t13 .ebc .ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf

.tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci .npc .qbmb

.sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb .tt15 .ssg .t09 .epa .qch

.pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv .kd3 .vmb .qph .t08 .qel .m12 .pvc

.q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2 .qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld

.quic .mbsb .nl2 .qml .wac .cf8 .vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01

.fcr .gnc .ldc .t05 .t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc

.mnp .qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql

.dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t .00c

.qmt .cfdi .u10 .s12 .qme .int? .cf9 .ta5 .u08 .mmb .qnx .q07 .tb2 .say .ab4 .pma .defx

.tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99 .mn9 .qem .scd .mwi .mrq

.q98 .i2b .mn6 .q08 .kmy .bk2 .stm .mn1 .bc8 .pfd .bgt .hts .tax0 .cb .resx .mn7 .08i

.mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam .btif .11t .efsl .$ac .emp .imp .fxw .sbc

.bpw .mlb .10t .fa1 .saf .trm .fa2 .pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd

.pr1 .mn2 .bpf .mws .h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa

.rec .rda .ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10

.ent .fyc .p08 .jsd .zka .hbk .bkf .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens .3pe .pxa

.intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap .p12 .p7c .crt

.csr .pem .gpg .key

[1] 암호화 대상 파일 확장자

 

‘Sage 2.2 랜섬웨어에서는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 이전 버전과 비교해 봤을 때 새로 추가된 기능인 것을 확인 할 수 있다.

구분

내용

예외 대상 목록의

경로

tmp Temp winnt 'Application Data' AppData ProgramData 'Program Files (x86)'

'Program Files' '$Recycle Bin' '$RECYCLE BIN'

Windows.old $WINDOWS.~BT DRIVER DRIVERS

'System Volume Information' Boot Windows WinSxS DriverStore

'League of Legends' steamapps cache2 httpcache GAC_MSIL

GAC_32 'GOG Games' Games 'My Games' Cookies History IE5

Content.IE5 node_modules All Users AppData ApplicationData

nvidia intel Microsoft System32 'Sample Music'

'Sample Pictures' 'Sample Videos' 'Sample Media' Templates

[2] 예외 대상 목록



3-3. 프로세스 종료

아래 [3]에 있는 대상 프로세스들을 종료하는 기능은 이전 ‘Sage 2.0 랜섬웨어에서 없는 기능이다. 이 기능은 암호화가 진행되면서 현재 실행 중인 특정 프로세스가 있다면 종료한다. 이는 암호화 대상 파일을 대상 프로세스가 사용하고 있는 것을 방지하기 위한 것으로 보인다.

구분

내용

종료 대상 프로세스

“msftesql.exe” “sqlagent.exe” “sqlbrowser.exe” “sqlservr.exe” “sqlwriter.exe”

“oracle.exe” “ocssd.exe” “dbsnmp.exe” “synctime.exe” “mydesktopqos.exe” “agntsvc.exe”

“isqlplussvc.exe” “xfssvccon.exe” “mydesktopservice.exe” “ocautoupds.exe” 

“encsvc.exe” “firefoxconfig.exe” “tbirdconfig.exe” “ocomm.exe” “mysqld.exe”

“mysqld-nt.exe” “mysqld-opt.exe” “dbeng50.exe” “sqbcoreservice.exe”

[3] 종료 대상 프로세스




3-4. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 사용자가 PC를 암호화 하기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다는 점은 이전 버전과 같다. 그러나 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 윈도우 자동 복구를 하지 못하도록 명령어를 수행하는 부분이 추가되어 있는 것을 확인할 수 있다.


[그림 7] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 7] 시스템 복원 기능 삭제 및 부팅 복구 무력화




3-5. 결제 안내

암호화가 진행되면서 각 폴더에는 “!HELP_SOS.hta” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 

또한, ‘Sage 2.2 랜섬웨어’ 와 이전 ‘Sage 2.0 랜섬웨어’ 의 차이점은 파일 암호화를 알려주는 음성 메시지를 들려주고, 랜섬노트가 11개의 언어로 작성되어 있다는 점이다. 음성 메시지는 다른 언어를 선택하여도 영어로만 들려준다.


[그림 8] ‘Sage 2.0’ 랜섬노트[그림 8] ‘Sage 2.0’ 랜섬노트


[그림 9] 한글버전의 ‘Sage 2.2’ 랜섬노트[그림 9] 한글버전의 ‘Sage 2.2’ 랜섬노트




‘Sage 2.2 랜섬웨어’ 제작자들은 랜섬노트에 토르 브라우저에서 접속 가능한 주소를 제공하고 있다.


해당 페이지에서는 ‘SAGE 2.0’ 결제 안내 페이지를 재사용하고 있는 것으로 보이며, 지불방법으로 $515 를 비트코인으로 요구한다. 또한 해당 페이지에서는 주어진 시간이 지나면 복호화 비용을 두배 가격인 $1030 로 높이겠다는 내용을 확인할 수 있다.


[그림 10] 결제 안내 페이지 (1)[그림 10] 결제 안내 페이지 (1)


[그림 11] 결제 안내 페이지(2)[그림 11] 결제 안내 페이지(2)





4. 결론

최근 한국어를 지원하는 랜섬웨어들이 계속 발견되고 있다. 국내 사용자의 피해가 증가하고 있을 뿐만 아니라 감염 형태도 국내 이슈를 활용한 사회공학기법을 이용하고 있어 그 피해가 더욱더 커질 것으로 예상된다. 또한 감염 시 지불안내를 하는 랜섬노트의 ‘한국어’ 번역이 보다 정교해지고 있어 국내 사용자들의 인터넷 사용에 주의가 필요 하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 13] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Venus Locker의 변종, LLTP Locker 감염 주의



1. 개요 


‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다.


지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다.


이번 보고서에서는 Venus Locker의 변종, ‘LLTP Locker’ 랜섬웨어에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

LLTP_Ransom.exe

파일크기

956,928 byte

진단명

Ransom/W32.LLTP.956928

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, P2P사이트, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘LLTP Locker’ 랜섬웨어가 실행되면 http://moniestealer.co.nf로 피해자의 PC이름, 사용자 계정, 그리고 식별자 문자열인‘LLTP2.4.0’을 전송한다.


[그림 1] 감염 시 패킷 전송[그림 1] 감염 시 패킷 전송



그 후 파일암호화를 진행하는데, LLPT 랜섬웨어의 경우, 특이 하게도 암호화 후에 원본 파일 확장명에 따라 두가지 형식의 새로운 확장자명으로 변경 한다. 

파일 암호화가 완료되면 사용자의 바탕화면은 아래와 같이 변경되고 .EXE와 .TXT 형태의 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면


[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드






3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 ‘2가지’ 확장자명 으로 암호화 한다. 

아래 [표 1] 에 해당하는 파일의 경우 암호화 후 확장자가 “.ENCRYPTED_BY_LLTP”로 변경된다. 

구분

내용

암호화 대상 파일

확장자

".txt",".ini",".php",".html",".css",".py",".c",".cxx",".aspx",".cpp",".cc",".h",".cs",             ".sln",

".log",".pl",".java",".doc",".dot",".docx",".docm",".dotx",".dotm",".rtf",".wpd",".docb",

".wps",".msg",".xls",".xlt",".xlm",".xlsx",".xlsm",".xltx",".xltm","xlsb",".xla",".xlam",

".xll",".xlw",".ppt",".pot",".pps",".pptx",".pptm",".potx",".potm",".ppam",".ppsx",

".ppsm",".sldx",".sldm",".class",".jar",".csv",             ".xml",".dwg",".dxf",".asp"

[표 1] 암호화 대상 파일 확장자


암호화 된 파일 확장자명이 ".ENCRYPTED_BY_LLTPp"으로 변경되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일

확장자

".asf",".pdf",".xls",".docx",".xlsx",".mp3",".waw",".jpg",".jpeg",".txt",".ost",".oab",

".jsp",".rtf",".doc",".rar",".zip",".psd",".tif",".wma",".gif",".bmp",".ppt",".pptx",".docm",

".xlsm",".pps",".ppsx",".ppd",".eps",".png",".ace",".djvu",".tar",".cdr",".max", ".wmv",

".avi",".wav",".mp4",".pdd",".php",".aac",".ac3",".amf",".amr",".dwg",".dxf",".accdb",

".mod",".tax2013",".tax2014",".oga",".ogg",".pbf",".ra",".raw",".saf",".val",".wave",

".wow",".wpk",".3g2",".3gp",".3gp2",".3mm",".amx",".rpt",".avs",".bik",".dir",".divx",

".dvx",".evo",".flv",".qtq",".tch",".rts",".rum",".rv",   ".scn",".srt",".stx",".svi",".swf",".trp",

".vdo",".wm",".wmd",".wmmp",".wmx",".wvx",".xvid",".3d",".3d4",".3df8",".pbs",

".adi",".ais",".amu",".arr",".bmc",".bmf",".cag",".cam",".dng",".ink",".ini",".jif",".jiff",

".jpc",".jpf",".jpw",".mag",".mic",".mip",".msp",".nav",".ncd",".odc",".odi",".opf",".qif",

".xwd",".abw",".act",".adt",".aim",".ans",".asc",".ase",".bdp",".bdr",".bib",".boc",".crd",

".diz",".dot",".dotm",".dotx",".dvi",".dxe",".mlx",".err",".euc",".faq",".fdr",".fds",".gthr",

".idx",".kwd",".lp2",".ltr",".man",".mbox",".msg",".nfo",".now",".odm",".oft",".pwi",

".rng",".rtx",".run",".ssa",".text",".unx",".wbk",".wsh",".7z",".arc",".ari",".arj",".car",".cbr",

".cbz",".gz",".gzig",".jgz",".pak",".pcv",".puz",".rev",".sdn",".sen",".sfs",".sfx",".sh",".shar",

".shr",".sqx",".tbz2",".tg",".tlz",".vsi",".wad",".war",".xpi",".z02",".z04",".zap",".zipx",

".zoo",".ipa",".isu",".jar",".js",".udf",".adr",".ap",".aro",".asa",".ascx",".ashx",".asmx",

".asp",".indd",".asr",".qbb",".bml",".cer",".cms",".crt",".dap",".htm",".moz",".svr",".url",

".wdgt",".abk",".bic",".big",".blp",".bsp",".cgf",".chk",".col",".cty",".dem",".elf",".ff",

".gam",".grf",".h3m",".h4r",".iwd",".ldb",".lgp",".lvl",".map",".md3",".mdl",".nds",

".pbp",".ppf",".pwf",".pxp",".sad",".sav",".scm",".scx",".sdt",".spr",".sud",".uax",".umx",

".unr",".uop",".usa",".usx",".ut2",".ut3",".utc",".utx",".uvx",".uxx",".vmf",".vtf",".w3g",

".w3x",".wtd",".wtf",".ccd",".cd",".cso",".disk",".dmg",".dvd",".fcd",".flp",".img",".isz",

".mdf",".mds",".nrg",".nri",".vcd",".vhd",".snp",".bkf",".ade",".adpb",".dic",".cch",".ctt",

".dal",".ddc",".ddcx",".dex",".dif",".dii",".itdb",".itl",”.kmz",".lcd",".lcf",".mbx",".mdn",

".odf",".odp",".ods",".pab",".pkb",".pkh",".pot",".potx",".pptm",".psa",".qdf",".qel",

".rgn",".rrt",".rsw",".rte",".sdb",".sdc",".sds",".sql",".stt",".tcx",".thmx",".txd",".txf",

".upoi",".vmt",".wks",".wmdb",".xl",".xlc",".xlr",".xlsb",".xltx",".ltm",".xlwx",".mcd",

".cap",".cc",".cod",".cp",".cpp",".cs",".csi",".dcp",".dcu",".dev",".dob",".dox",".dpk",

".dpl",".dpr",".dsk",".dsp",".eql",".ex",".f90",".fla",".for",".fpp",".jav",".java",".lbi",".owl",

".pl",".plc",".pli",".pm",".res",".rsrc",".so",".swd",".tpu",".tpx",".tu",".tur",".vc",".yab", 

".aip",".amxx",".ape",".api",".mxp",".oxt",".qpx",".qtr",".xla",".xlam",".xll",".xlv",".xpt",

".cfg",".cwf",".dbb",".slt",".bp2",".bp3",".bpl",".clr", ".dbx",".jc",".potm",".ppsm",

".prc",".prt",".shw",".std",".ver",".wpl",".xlm",".yps",".1cd",".bck",".html",".bak",".odt",

".pst",".log",".mpg",".mpeg",".odb",".wps",".xlk",".mdb",".dxg",".wpd",".wb2",".dbf",

".ai",".3fr",".arw",".srf",".sr2",".bay",".crw",".cr2",".dcr",".kdc",".erf",".mef",".mrw",".nef",

".nrw",".orf",".raf",".rwl",".rw2",".r3d",".ptx",".pef",".srw",".x3f",".der",".pem",".pfx",

".p12",".p7b",".p7c",".jfif",".exif",".docb",".xlt",".xltm",".xlw",".ppam",".sldx",".sldm",

".class",".db",".pdb",".dat",".csv",".xml",".spv",".grle",".sv5",".game",".slot",".aaf",".aep",

".aepx",".plb",".prel",".prproj",".eat",".ppj", ".indl",".indt",".indb",".inx",".idml",".pmd",

".xqx",".svg",".as3",".as"

[2] 암호화 대상 파일 확장자



해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA알고리즘을 사용하여 암호화 한다.

암호화 된 파일은 아래와 같은 형태가 되며, 바탕화면에 “LEAME.txt”, “RansomNote.exe”라는 랜섬노트가 생성된 것을 확인할 수 있다.


[그림 4] 암호화 된 파일과 랜섬노트[그림 4] 암호화 된 파일과 랜섬노트



'LLTP Locker'랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 

구분

내용

예외 대상 목록의

경로

"Program Files","Program Files (x86)","Windows","Python27","Python34",

"AliWangWang",  "Avira","wamp",  "Avira","360","ATI","Google","Intel",

"Internet Explorer","Kaspersky Lab","Microsoft Bing Pinyin","Microsoft Chart Controls",

"Microsoft Games","Microsoft Office","Microsoft.NET","MicrosoftBAF","MSBuild",

"QQMailPlugin","Realtek","Skype","Reference Assemblies","Tencent", "USB Camera2",

"WinRAR","Windows Sidebar","Windows Portable Devices","Windows Photo Viewer",

"Windows NT","Windows Media Player","Windows Mail","NVIDIA Corporation",

"Adobe","IObit","AVAST Software","CCleaner","AVG","Mozilla Firefox","VirtualDJ",

"TeamViewer","ICQ","java","Yahoo!"

[3] 예외 대상 경로




3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC의 볼륨 쉐도우 복사본이 제거된다.


[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제




3-3. 금전 요구

파일 암호화가 완료되면 'LLTP Locker'랜섬웨어는 암호화된 파일에 대하여 금전을 요구한다. 해당 랜섬웨어는 랜섬노트를 3가지 형식의 포멧으로 사용자에게 지불방법을 설명한다.

변경된 바탕화면과 바탕화면에 생성 된 “LEAME.txt” 는 영문으로, “RansomeNote.exe”는 스페인어로 사용자에게 비트코인 지불 방법을 안내한다.


[그림 6] 스페인어로 작성되어진 랜섬노트[그림 6] 스페인어로 작성되어진 랜섬노트


[그림 7] 영문 랜섬노트[그림 7] 영문 랜섬노트




3-4. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 .exe포멧의 랜섬노트를 띄워 사용자에게 감염되었다는 것을 계속 인지하도록 유도 한다.


[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가



그리고 바탕화면을 변경하기 위해서 아래 그림과 같이 Wallpaper의 값을 해당 이미지 경로로 변경한다.


[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가



4. 결론

‘LLTP Locker’에 대해서는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 여타 랜섬웨어와 같이 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 그 피해가 커질 것으로 예상된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석



1. 개요 


일반적으로 랜섬웨어는 해당 PC에 저장되어 있는 데이터 파일들을 암호화하여 인질로 잡고, 이를 복구하기 위한 방법으로 금전적 요구를 하는 악성코드이다. 하지만 최근에 발견된 ‘Rensenware’(련선웨어) 의 경우 암호화된 파일을 복구하기 위해 금액 지불이 아닌 특정 게임에서 일정 점수 이상을 달성해야 한다.


해당 ‘Rensenware’ 는 국내 한 누리꾼이 재미를 위해 개발한 랜섬웨어로, 실행 파일이 직접적으로는 배포되지 않았다. 하지만 인터넷에 소스코드가 공개되어 악용의 소지가 있을 것으로 예상된다.

사태의 심각성을 인지한 해당 개발자는 빠른 사과와 무력화 툴을 공개하였지만 유사한 악성코드가 발견될 수 있어 국내 사용자들에게 주의를 요한다.


이번 보고서에서는 일반적인 랜섬웨어의 복구 방식과 다른 ‘Rensenware’ 에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Rensenware.exe

파일크기

98,816 byte

악성동작

파일 암호화, 게임 점수 요구

 



2-2. 유포 경로

해당 악성코드의 공개 소스는 국내 커뮤니티 게시판에 공개용으로 게재 되었던 것으로 보이며, 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.



2-3. 실행 과정

‘Rensenware’ 가 실행되면 사용자 PC에 있는 데이터 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.

랜섬노트에는 다음과 같이 특정 게임의 일정 점수를 얻어야만 복호화를 수행한다는 내용을 담고 있다. 하지만 게임 실행 파일은 포함되어 있지 않아 사용자가 게임을 별도로 다운로드를 해야한다.


[그림 1] ‘Rensenware’ 랜섬노트[그림 1] ‘Rensenware’ 랜섬노트




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-256 알고리즘을 사용하여 암호화 한 뒤 ‘.RENSENWARE’ 라는 확장자를 덧붙인다. 


[그림 2] AES-256 암/복호화[그림 2] AES-256 암/복호화


[그림 3] 원본 파일 확장자에 ‘.Rensenware’ 덧붙이는 부분[그림 3] 원본 파일 확장자에 ‘.Rensenware’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상 파일

확장자

".jpg",".txt",".png",".pdf", ".hwp",".psd",".cs",".c",".cpp",".vb",".bas",".frm",".mp3",

".wav",".flac",".gif",".doc",".xls",".xlsx",".docx",".ppt",".pptx",".js",".avi",".mp4",".mkv",

".zip",".rar",".alz",".egg",".7z",".raw"

[1] 암호화 대상 파일 확장자



3-2. 특정 게임과 관계

암호화 된 데이터 파일을 복호화 하기 위해서는 “동방성련선” 이라는 게임이 필요하다. 해당 게임은 아래 그림과 같은 모습이며, 게임모드 중 ‘루나틱 모드’ 를 선택하여 ‘2억’ 점 이상을 획득해야 한다.


[그림 4] ‘동방성련선’ 게임 화면과 점수 부분[그림 4] ‘동방성련선’ 게임 화면과 점수 부분




[그림 5]에서 해당 랜섬웨어가 게임 모드와 점수를 지속적으로 확인하는 것을 알 수 있다.


[그림 5] ‘동방성련선’ 게임 모드와 점수 체크 부분[그림 5] ‘동방성련선’ 게임 모드와 점수 체크 부분



3-3. 암호화 된 파일 복호화

현재 해당 랜섬웨어는 개발자에 의해 복호화 툴이 배포되고 있다. 복호화 툴은 아래와 같으며, 게임이 실행 중일 때만 복호화가 가능하다. 게임이 실행 중일 때 “FORCE IT” 버튼을 누르게 되면 게임의 점수가 조작되는 것을 확인 할 수 있다.


[그림 6] ‘Rensenware’ 무력화 툴[그림 6] ‘Rensenware’ 무력화 툴



[그림 7]과 같이 게임의 점수가 조작되어 ‘4억’ 점으로 변경되는 것을 확인할 수 있다.


[그림 7] 점수를 변경시키는 소스 코드[그림 7] 점수를 변경시키는 소스 코드


[그림 8] 게임 점수 변경[그림 8] 게임 점수 변경



해당 게임 점수가 4억점으로 변경된 뒤, 이전에 출력된 랜섬노트 화면에서 복호화가 진행되고 있다는 메시지가 출력된다. 복호화가 완료된 뒤 알림과 함께 암호화 된 파일이 복호화 된 것을 확인 할 수 있다.


[그림 9] 복호화 알림[그림 9] 복호화 알림


[그림 10] ‘Rensenware’ 복호화 된 파일[그림 10] ‘Rensenware’ 복호화 된 파일




4. 결론

해당 랜섬웨어의 경우 개발자가 무력화 도구를 공개하여 파일 복호화가 가능하다. 하지만 Golden Tear 소스코드의 악용 사례와 같이, 이미 공개된 랜섬웨어 소스코드의 악용으로 인한 추가적인 피해가 나타날 수 있으므로 주의해야 한다.

또한, 사용자는 신뢰되지 않는 사이트에서 다운로드는 지양해야 하며, 출처가 불분명한 파일의 경우 실행에 주의해야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의



1. 개요 


‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.

CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.

이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

revenge.exe

파일크기

116,224 byte

진단명

Ransom/W32.Revenge.116224

악성동작

파일 암호화

해쉬(MD5)

3BCEADD4C2C546ABA24E24307F1DEFCD

 



2-2. 유포 경로

웹브라우저의 취약점을 공격하는 ‘RIG Exploit Kit’을 이용하여 웹을 통해 유포된다.



2-3. 실행 과정

해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 확장자를 REVENGE 로 변경한다. 파일 암호화 시 사용 된 AES 암호화 키는 다시 한번 RSA-1024 방식으로 암호화 된다. 또한 관리자 권한으로 실행하기 위해서 ‘Windows Defender’ 가짜 메시지를 출력하여, 사용자의 클릭을 유도해 권한을 상승한다. 파일 암호화 이후 아래 그림과 같은 .txt 포맷의 랜섬노트를 띄운다.

랜섬노트에는 ‘Revenge’ 랜섬웨어 복호화를 안내하는 내용이 있으며, 결제를 위한 메일 주소를 포함하고 있다.


[그림1] 랜섬노트[그림1] 랜섬노트




WMI Commandline Utility를 이용하여 원본악성코드를 호출한다. 권한 상승을 유도하기 위해서 ‘Windows Defender’에서 출력된 메시지처럼 사용자의 [계속] 버튼을 클릭하도록 만든다.


[그림2] 암호화 진행 중 첫번째 팝업 출력[그림2] 암호화 진행 중 첫번째 팝업 출력




‘Windows Defender’ 가짜 메시지 창의 [계속] 버튼을 사용자가 클릭하게 되면 아래와 같이 사용자 계정 컨트롤 팝업창을 허용할지 묻는다. 만약 [아니오]를 누르면 해당 메시지 창은 계속해서 발생된다.


[그림3] 암호화 진행 중 두번째 팝업 출력[그림3] 암호화 진행 중 두번째 팝업 출력




관리자 권한으로 실행할지 여부를 묻는 팝업창에서 허용 하게 되면 원본악성코드를 관리자 권한으로 실행 한다. 이러한 과정은 PC사용자를 Windows defender에서 실행하는 과정으로 보이도록 유도한다.


[그림4] 암호화 진행 중 세번째 팝업 출력[그림4] 암호화 진행 중 세번째 팝업 출력




해당 랜섬웨어는 [그림5]와 같이 .REVENGE의 문자로 확장자를 바꾼다. 그리고 대상 폴더 마다 “# !!!HELP_FILE!!!#.TXT” 라는 랜섬노트를 생성한다.


[그림5] 암호화 된 파일[그림5] 암호화 된 파일





3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.


[그림 6] 암호화 대상 파일 확장자 일부 내용[그림 6] 암호화 대상 파일 확장자 일부 내용




해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 파일의 확장자를 .REVENGE 로 변경한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA-1024 공개 키를 사용하여 암호화 한다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command Line과 같은 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림7] 쉐도우 파일 삭제[그림7] 쉐도우 파일 삭제






4. 결론

최근 ‘Revenge’ 랜섬웨어와 같이 한국인 사용자도 함께 겨냥한 랜섬웨어들이 지속적으로 등장하고 있다. 이에 대비하여 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Spora 랜섬웨어 분석 보고서




1. 개요 


몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

spora.exe

파일크기

77,824 byte

진단명

Ransom/W32.Spora.77824.L

악성동작

랜섬웨어

해쉬(MD5)

57484440F7BE94394FD851DE3E416285

 



2-2. 유포 경로

랜섬웨어 Spora는 피싱 이메일와 손상된 웹사이트를 통해 유포되었다.



2-3. 실행 과정

해당 악성코드는 파일 감염 후 자신을 “/u” 파라미터로 다시 실행하는데, 이 과정에서 UAC 팝업이 나타나며 사용자가 수락할 때까지 반복해서 나타난다. 파일 암호화 이후 아래 그림과 같은 html 포맷의 랜섬노트를 띄운다.

 

[그림 1] 랜섬노트[그림 1] 랜섬노트





3. 악성 동작


3-1. 파일 암호화

[그림 2]과 같은 확장자를 대상으로 파일 암호화를 진행하며, [그림 3]의 문자열을 포함하는 폴더는 암호화 대상에서 제외된다.

 

[그림 2] 암호화 대상 파일 확장자[그림 2] 암호화 대상 파일 확장자


 

[그림 3] 제외 폴더[그림 3] 제외 폴더




대상 파일 암호화 시 아래 그림과 같이 각 파일마다 각각의 128바이트의 암호화 키를 생성하여 암호화 하고, 파일 암호화에 쓰인 키는 또 다시 이전에 생성해 두었던 RSA키로 암호화되어 파일 끝 부분에 붙이고, 암호화된 암호화 키의 CRC 4바이트를 마지막에 붙인다.

 

[그림 4] 암호화된 파일 구조[그림 4] 암호화된 파일 구조




이로 인하여 같은 내용의 파일도 암호화된 결과가 다르며, 파일 이름의 변화 없이 파일 끝의 132 바이트를 검증하여 암호화 유무를 파악할 수 있게 된다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 쉐도우 복사본을 삭제하여 복구하여 시스템 복원을 불가능하게 만든다.

 

[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제





4. 결론

해당 악성코드는 html 포맷의 랜섬노트 hidden 필드에 base64로 인코딩된 피해자 정보를 입력하여, 감염 당시 피해자의 네트워크 연결 상태와 관계없이 피해자 식별이 가능하도록 구현되어 있다. 이러한 악성코드 감염의 예방을 위해선 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect