CryptXXX 랜섬웨어 분석 보고서 



 

1. 개요

흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

CryptXXX.dll (임의의 파일명)

파일크기

402, 432 Byte

진단명

Ransom/W32.CryptXXX.402432

악성동작

파일 암호화를 통한 Bit-coin 요구








 

2-2. 유포 경로

CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다. Angler Exploit Kit 은 취약점을 찾아 악성코드를 다운로드 및 실행 할 수 있게 하는 소프트웨어 킷 이다. Angler Exploit Kit으로 리다이렉트되도록 설정된 손상된 웹서버에 사용자가 접속하면, Angler Exploit Kit 내부 다운로더에 의해 CryptXXX 파일이 다운로드 된다.





[그림 1] CryptXXX 유포방식




2-3. 실행 과정

해당 악성파일은 .dll 파일이기 때문에 파일 특성상 자체 실행이 불가능하다. 따라서 CryptXXX는 기존 rundll32.exe 의 이름을 svchost.exe 로 바꾸어 자신이 다운로드 된 곳으로 복사하며 이후 복사된 svchost.exe 를 통하여 자기자신을 동작시킨다. svchost.exe 는 윈도우 구동에 있어 필수적으로 사용되는 프로세스로 기본적으로 여러 개의 svchost.exe 가 동작하고 있기 때문에 해당 프로세스의 정보를 확인하지 않는 한 사용자가 쉽게 알아차리기 힘들다.




[그림 2] 악성 DLL이 로드 된 svchost.exe 프로세스



[그림 3] 악성 DLL 내의 익스포트(Export) 된 함수를 실행 중인 svchost.exe



3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 각종 파일들을 암호화 하고 기존 파일의 확장자를 “.crypt” 로 변경한다. 또한, 암호화를 수행하는 모든 경로에 “!Recovery_[사용자ID]” 형식의 이름으로 랜섬웨어 관련 안내 텍스트 파일과 html 파일을 드롭 한다.



[그림 4] 랜섬웨어 실행 후 암호화 된 테스트 파일 목록





[그림 5] 암호화 후 생성된 랜섬웨어 안내 텍스트 파일





하기의 목록은 CrytpXXX 가 암호화하는 확장자 목록이다. 다양한 파일의 확장자로 암호화의 대상을 지정하고 있으며 특히 국내에서 주로 쓰이는 한글 파일 포맷(.HWP)도 포함되어 있다.


.DS .PDT .PE4 .PEF .PEM .PDB .PDD .PDF .PFF .PFI .PFS .PFV .PFX .PGF .PGM .PHM .PHP .PI1 .PI2 .PI3 .PIC .PICT .PIF .PIX .PJPG .PJT .PL .PLT .PM .PMG .PNGA .PNIM .PNM .PNTG .PNZ .POP .POT .POT .POTX .PP4 .PP5 .PPAMES .PPM .PPS .PPSM .PPSXON .PPT .PPTM .PPTX .PRFR .PRIVCP .PRIVATE .PRT .PRW .PS .PSD .PSDX .PSE .PSID .PSP .PSPIMAGE .PSW .PTG .PTH .PTX.PU .PVJ .PVM .PVR .PWACO .PWI .PWRM .PXR.PY .PZ3 .PZA .PZP .PZS .QCOW2 .QDL .QMGE .QPX .QRY .QVD .RA .RAD .RAR .RAS .RAWUM .RCTD .RCU .RDB .RDDS .RDL .RFT .RGB .RGFA .RIB .RIC .RIFF .RIS .RIX .RLE .RLI .RM .RNG .RPD .RPF .RPT .RRI .RSB .RSD .RSR .3DM .3DS .3G2 .3GP .4DB .4DL .4MP .7Z .A3D .ABM .ABS .ABW .ACCDB .ACTUM .ADN .ADP .AES .AF2 .AF3 .AFT .AFX .AGIF .AGP .AHD .AI .AIC .AIF .AIM .ALBM .ALF .ANI .ANS .APD .APK .APM .APNG .APP .APS .APT .APX .ARC .ART .ARW .ASC .ASE .ASF .ASK .ASM .ASP .ASPX .ASW .ASX .ASY .ATY .AVI .AWDB .AWP .AWT .AWW .AZZ .BAD .BAK .BAY .BBS .BDB .BDP .BDR .BEAN .BIB .BM2 .BMP .BMX .BNA .BND .BOC .BOK .BRD .BRK .BRN .BRT .BSS .BTD .BTI .BTR .BZ2 .C .C2 .C4 .C4D .CAL .CALS .CAN .CD5 .CDB .CDC .CDG .CDMM .CDMT .CDR .CDR3 .CDR4 .CDR6 .CDT .CER .CF .CFG .CFM .CFU .CGI .CGM .CIMG .CIN .CIT .CKP .CLASS .CLKW .CMA .CMD .CMX .CNM .CNV .COLZ .CPC .CPD .CPG .CPP .CPS .CPT .CPX .CRD .CRT .CRWL .CRYPT .CS .CSR .CSS .CSV .CSY .CUE .CV5 .CVG .CVI .CVS .CVX .CWT .CXF .CYI .DAD .DAF .DB .DB3 .DBF .DBK .DBT .DBV .DBX .DCA .DCB .D .DCS .DCT .DCU .DCX .DDL .DDOC .DDS .DED .DF1 .DG .DGN .DGS .DHS .DIB .DIF .DIP .DIZ .DJV .DJVU .DM3 .DMI .DMO .DNC .DNE .DOC .DOCB .DOCM .DOCX .DOCZ .DOT .DOTM .DOTX .DP1 .DPP .DPX .DQY .DRW .DRZ .DSK .DSN .DSV .DT .DT2 .DTA .DTD .DTSX .DTW .DVI .DVL .DWG .DX .DXB .DXF .DXL .ECO .ECW .ECX .EDB .EFD .EGC .EIO .EIP .EIT .EMD .EMF .EML .EMLX .EP .EPF .EPP .EPS .EPSF .EQL .ERF .ERR .ETF .ETX .EUC .EXR .FAL .FAQ .FAX .FB2 .FB3 .FBL .FBX .FCD .FCF .FDB .FDF .FDR .FDS .FDT .FDX .FDXT .FES .FFT .FH10 .FH11 .FH3 .FH4 .FH5 .FH6 .FH7 .FH8 .FIC .FID .FIF .FIG .FIL .FL .FLA .FLI .FLR .FLV .FM5 .FMV .FODT .FOL .FP3 .FP4 .FP5 .FP7 .FPOS .FPT .FPX .FRM .FRT .FT10 .FT11 .FT7 .FT8 .FT9 .FTN .FWDN .FXC .FXG .FZB .FZV .GADGET .GBK .GBR .GCDP .GDB .GDOC .GED .GEM .GEO .GFB .GGR .GIF .GIH .GIM .GIO .GLOX .GPD .GPG .GPN .GPX .GRO .GROB .GRS .GSD .GTHR .GTP .GV .GWI .GZ .H .HBK .HDB .HDP .HDR .HHT .HIS .HPG .HPGL .HPI .HPL .HS .HTC .HTM .HTML .HZ .HWP .I3D .IB .IBD .IBOOKS .ICN .ICON .IDC .IDEA .IDX .IFF .IGT .IGX .IHX .IIL .IIQ .IMD .INDD .INFO .INK .IPF .IPX .ITDB .ITW .IWI .J2C .J2K .JAR .JAS .JAVA .JB2 .JBMP .JBR .JFIF .JIA .JIS .JKS .JNG .JOE .JP1 .JP2 .JPE .JPEG .JPG .JPG2 .JPS .JPX .JRTF .JS .JSP .JTX .JWL .JXR .KDB .KDBX .KDC .KDI .KDK .KES .KEY .KIC .KLG .KML .KMZ .KNT .KON .KPG .KWD .LAY .LAY6 .LBM .LBT .LDF .LGC .LIS .LIT .LJP .LMK .LNT .LP2 .LRC .LST .LTR .LTX .LUA .LUE .LUF .LWO .LWP .LWS .LYT .LYX .M .M3D .M3U .M4A .M4V .MA .MAC .MAN .MAP .MAQ .MAT .MAX ..MB .MBM .MBOX .MDB .MDF .MDN .MDT ..ME .MEF .MELL .MFD .MFT .MGCB .MGMT .MGMX .MID .MIN .MKV .MMAT .MML .MNG .MNR .MNT .MOBI .MOS .MOV .MP3 .MP4 .MPA .MPF .MPG .MPO .MRG .MRXS .MS11 .MSG .MSI .MT9 .MUD .MWB .MWP .MXL .MYD .MYI .MYL .NCR .NCT .NDF .NEF .NFO .NJX .NLM .NOTE .NOW .NRW .NS2 .NS3 .NS4 .NSF .NV2 .NYF .NZB .OBJ .OC3 .OC4 .OC5 .OCE .OCI .OCR .ODB .ODG .ODM .ODO .ODP .ODS .ODT .OFL .OFT .OMF .OPLC .OQY .A .F .T .X .OTA .OTG .OTI .OTP .OTS .OTT .OVP .OVR .OWC .OWG .OYX .OZB .OZJ .OZT .P12 .P7S .P96 .P97 .PAGES .PAL .PAN .PANO .PAP .PAQ .PAS .PB .PBM .PC1 .PC2 .PC3 .PCD .PCS .PCT .PCX .RT .RTD .RTF .RTX .RUN .RW2 .RWL .RZK .RZN .S2MV .S3M .SAF .SAI .SAM .SAVE .SBF .SCAD .SCC .S .SCI .SCM .SCT .SCV .SCW .SDB .SDF .SDM .SDOC .SDW .SEP .SFC .SFW .SGM .SH .SIG .SITX .SK1 .SK2 .SKM .SLA .SLD .SLDX .SLK .SLN .SLS .SMF .SMIL .SMS .SOB .SPA .SPE .SPH .SPJ .SPP .SPQ .SPR .SQB .SQL .SQLITE3 .SQLITEDB .SR2 .SRT .SRW .SSA .SSK .ST .STC .STD .STE .STI .STM .STN .STP .STR .STW .STY .SUB .SUMO .SVA .SVF .SVG .SVGZ .SWF .SXC .SXD .SXG .SXI .SXM .SXW .T2B .TAB .TAR .TB0 .TBK .TBN .TCX .TDF .TDT .TE .TEX .TEXT .TF .TFC .TG4 .TGA .TGZ .THM .THP .TIF .TIFF .TJP .TLB .TLC ..TM .TM2 .TMD .TMP .TMV .TMX ..TN .TNE .TPC .TPI .TRM .TVJ .TXT .U3D .U3I .UDB .UFO .UFR .UGA .UNX .UOF .UOP .UOT .UPD .USR .UTF8 .UTXT .V12 .VB .VBR .VBS .VCF .VCT .VCXPROJ .VDA .VDB .VDI .VEC .VFF .VMDK .VML .VMX .VNT .VOB .VPD .VPE .VRML .VRP .VSD .VSDM .VSDX .VSM .VST .VSTX .VUE .VW .WAV .WB1 .WBC .WBD .WBK .WBM .WBMP .WBZ .WCF .WDB .WDP .WEBP .WGZ .WI .WKS .WMA .WMDB .WMF .WMV .WN .WP .WP4 .WP5 .WP6 .WP7 .WPA .WPD .WPE .WPG .WPL .WPS .WPT .WPW .WRI .WSC .WSD .WSF .WSH .WTX .WVL .X3D .X3F .XAR .XCODEPROJ .XDB .XDL .XHTM .XHTML .XLC .XLD .XLF .XLGC .XLM .XLR .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .XML .XPM .XPS .XWP .XY3 .XYP .XYW .YAL .YBK .YML .YSP .YUV .Z3D .ZABW .ZDB .ZDC .ZIF .ZIP .ZIPX .ZW


[그림 6] 암호화 대상 확장자 목록



3-2. PC 사용 불능 및 자가파일 삭제

CryptXXX 는 파일 암호화를 마치고 일정시간 경과 후 PC 화면 전체를 덮는 랜섬웨어 안내문을 출력한다. 안내문이 출력 된 상태에서는 PC 제어가 불가능하지만 재부팅 이후에 다시 정상적인 사용이 가능하다. 또한, 해당 과정에서 원본 DLL 파일이 삭제된다.


[그림 7] 랜섬웨어 안내문




4. 결론

분석한 CryptXXX 는 취약점을 이용하여 .dll 파일을 동작시키며 Exploit Kit 을 통해 전파된다. 또한, 악성파일 자체가 .dll 파일 인 것과 더불어 svchost.exe 이름의 프로세스를 통해 동작하기 때문에 일반 사용자가 쉽게 알아 차릴 수 없다. 해당 랜섬웨어는 꾸준히 업데이트 되며 현재 CryptXXX 3.0 버전 까지 배포되고 있다. 더욱이 최근에는 한글화 된 버전도 발견되어 국내 사용자도 각별한 주의가 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Rokku 랜섬웨어 분석 보고서 



 

 







1. 개요

2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다최근 가장 많이 발견되고 있을 뿐만 아니라한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다.


게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다.


이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

rokkuRansom.exe (임의의 파일명)

파일크기

681,984 Byte

진단명

Trojan/W32.Deshacop.681984

악성동작

파일 암호화, Bit-coin 요구






 


2-2. 유포 경로

랜섬웨어의 일반적인 유포 방식은 이메일을 통한 첨부파일 방식이었다하지만 랜섬웨어의 종류가 증가함과 동시에 유포 방식 또한 다양해지고 있다근래에 들어서는 사회적 공학기법을 이용한 이메일 기법 외에도 각종 취약점과 스크립트를 통한 자동 다운로드 등 복합적인 방식으로 유포를 하고 있다.




3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어와 마찬가지로 각종 파일들을 암호화 하고 기존 파일명을 “.rokku” 로 변경한다또한암호화를 수행하는 모든 경로에 “README_HOW_TO_UNLOCK” 이름의 랜섬웨어 관련 텍스트 파일과 html 파일을 드롭하여 감염자에게 금전을 요구한다.

 



[
그림 1] 랜섬웨어 실행 후 암호화 된 파일 목록





3-2. Bit coin 을 통한 금전 요구

파일을 암호화 한 뒤 각 폴더에 생성 된 “README_HOW_TO_UNLOCK” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소(http://z****2****l****m.onion)를 제공하고 있으며 해당 페이지에서는 Bit coin 지불과 관련된 내용과 1개의 파일을 시험적으로 복호화 할 수 있게 했다파일 복호화는 자신들이 만든 복호화 툴을 다운로드 하게하여, Bit coin 을 내고 받은 키를 입력하면 복원되게 했다.


특이한 점은 이전 여러 랜섬웨어가 금전을 지불하고도 제대로 복호화 해주지 않는다는 소문이 돌아 랜섬웨어에 감염된 사용자들이 애초에 복호화를 포기하는 경우가 많았는데이런 경우를 인식했는지 시험용 파일을 하나 복호화 해준다또한금전 지불 방식에 있어서 모바일 결재방식을 추가하였다.

 



[그림 2] 파일 암호화 후 연결되는 인터넷 페이지

 



[그림 3] 랜섬웨어 금전요구 페이지



[
그림 4] 시험 복호화를 위한 키 조회

 




[그림 5-1, 5-2] rokku 파일 복호화에 쓰이는 전용 프로그램 및 다운로드

 



[
그림 6] 1개의 시험 복호화 시 원본파일로 복원된 모습

 



[
그림 7] QR코드 인식 시 비트 코인 지불을 요구하는 화면





4. 결론

랜섬웨어는 그 기술뿐만 아니라 돈을 전달받을 방식이나 범죄행위의 구성심지어 설명페이지의 디자인까지 섬세해지고 정교해지고 있다정교해진 랜섬웨어의 무차별 공격에 따른 피해는 오로지 사용자가 감당해야 하는 것이 현실이다


결국 PC를 사용하는데 있어서 기본적인 보안 수칙이나 습관들이 더욱 중요해지고 있다출처가 불확실한 메일/파일은 열어보는 것을 자제하고사용자 계정 컨트롤(UAC) 설정을 사용하며최신 제품으로 업데이트 등 기본적인 보안수칙만 지켜도 상당한 부분 안전해 질 것이다.


또한 로컬 그룹 정책을 사용하여 소프트웨어 실행 제한을 걸어두는 정책도 임시폴더 등의 위치에서 실행되는 악성코드의 실행을 방지하는 좋은 방법이 될 수 있다소프트웨어 실행 제한이란 윈도우 그룹 정책 중 하나로써 특정 폴더에서의 파일 실행을 제한해 준다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)




[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 



 

 



1. 개요

악성코드의 목적은 금융정보 탈취파일 암호화, DDoS 공격용 좀비PC 생성단순 PC 파괴 등 다양하다그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다취약점 CVE-2016-1019 도 그 중 하나이다.


CVE Common Vulnerabilities and Exposures의 약자로보안 취약점 정보를 제공하는 시스템을 말한다각 취약점 별로 번호를 붙여 식별하고이 랜섬웨어에서 사용한 CVE-2016-1019  2016 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다.


이 보고서에서는 CVE-2016-1019 취약점을 통해 전파된 랜섬웨어에 대해 알아보겠다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

swfRansom02.swf, swfRansom06.kaf외 8

파일크기

45,391 byte ,  278,528 byte

진단명

Trojan-Exploit/W32.CVE-2016-1019.45391, Trojan/W32.Ransom.278528

악성동작

랜섬웨어추가파일 다운로드

네트워크

 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 를 추가 다운






 


2-2. 유포 경로

.swf 확장자는 Adobe 에서 만든 플래시 파일 형식이다웹 페이지의 애니메이션이나 액션 스크립트에 사용되며 국내에서 많이 사용하는 파일 포맷이다웹사이트에 있는 .swf 파일을 실행하기 위해선 사용자 PC Adobe Flash Player 프로그램이 설치되어 있어야 한다


CVE-2016-1019 는 이렇게 인터넷 사용자에게 필수적인 프로그램 Adobe Flash Player에서 발생한 취약점으로Adobe Flash Player 21.0.0.197 이하 버전 사용자는 악의적으로 수정된 .swf 파일이 있는 웹사이트에 방문하는 것만으로도 위험에 노출될 수 있다.





[그림 1] 악의적으로 수정된 .swf 파일




2-3. 실행 과정

악의적으로 수정된 .swf파일 실행 시 악성코드에 감염되며 윈도우 정상 프로세스 파워쉘을 악용하여 추가 악성코드를 다운로드 받는다다운받는 주소는 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 이며사용자 임시폴더 하위에 a.exe 라는 파일명으로 저장 및 실행 시키지만 현재 해당 주소는 접속되지 않는다.




[
그림 2] 파워쉘을 통한 추가 파일 다운로드 시도

 

 



3. 악성 동작

3-1. 파일 암호화

다운로드 된 랜섬웨어는 하기 확장자를 가진 파일에 대해 암호화를 실시하고 확장자를 .cerber 로 변경한다특이사항으로 [2] 에 명시된 프로세스를 종료 시키는데 이는 암호화 과정의 오류를 방지하기 위함으로 보인다.


.contact .dbx .doc .docx .jnt .jpg .mapimail .msg .oab .ods .pdf .pps .ppsm .ppt .pptm .prf .pst .rar .rtf .txt .wab .xls .xlsx .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .accdb .aoi .asf .asp .aspx .asx .avi   .bak .cer .cfg .class .config .css .csv .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mdf .mid .mlb .mov .mp3 .mp4 .mpg .obj .odt .pages .php .psd .pwm .rm .safe .sav .save .sql .srt .swf .thm .vob .wav .wma .wmv .xlsb .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .docm .dot .dotm .dotx .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .mdb .pcd .pct .pl .potm .potx .ppam .ppsm .ppsx .pptm .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .wps .xla .xlam .xlm .xlr .xlsm .xlt .xltm .xltx .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dbf .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .odp .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .ndf .nvram .ogg .ost .pab .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erbsql .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .pot .pptx .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sdf .sqlite .sqlite3 .sqlitedb .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .sdb .sqlite-shm .sqlite-wal .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .tif


[
 1] 암호화 대상 확장자



outlook.exe

이메일 프로그램

thunderbird.exe

이메일 프로그램

thebat.exe

이메일 프로그램

thebat64.exe

이메일 프로그램

steam.exe

게임 클라이언트


[
표 2] 프로세스 종료 목록





3-2. 안내 페이지 및 감염 제외 국가

이 랜섬웨어는 최근 이슈 되고 있는 음성안내를 제공한다또한 PC 언어코드를 기준으로 감염 제외 PC를 식별하는데감염 제외 15개국에는 러시아우크라이나아제르바이잔 등 주로 동유럽 국가가 주를 이뤘다.

1049

Russian

1058

Ukrainian

1059

Belarusian

1064

Tajik

1067

Armenian


[
표 3] 감염 제외 국가




[
그림 3] 안내페이지





4. 결론

과거에는 PC 성능저하를 이유로 소프트웨어 업데이트를 하지 않는 사용자들이 많았다하지만 PC 성능이 상향되면서 성능저하를 이유로 업데이트를 하지않는 경우는 일어나지 않게 되었다. 또한, 윈도우 10의 경우 OS 업데이트를 무조건 설치해야 하는 정책을 준수하고 있다.


장기간 업데이트를 하지 않을 경우, 이처럼 새로 발견되는 취약점에 의해 자신도 모르는 사이에 악성코드에 감염될 수 있다근래에는 전반적인 보안의식 향상으로 피해 사례가 많이 줄었지만 여전히 많은 소프트웨어에서 업데이트에 대해 사용자 선택권을 부여하고 있고 실제로 일부 이용자는 업데이트에 대한 알림조차 받지 않고 있다.




[
그림 4] Adobe Flash Player 설치 시 출력되는 업데이트 설정 화면

 



대부분의 취약점은 알려지는 즉시 제작사에서 패치를 진행한다취약점이 패치 된 버전을 사용하는 것 만으로 해당 위협에서 벗어날 수 있기에 많은 보안전문가가 권고하는 업데이트의 생활화는 가장 기초적인 보안 대책이라고 할 수 있다.


위에 분석된 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


최신 Adobe Flash Player 는 https://get.adobe.com/kr/flashplayer/ 에서 다운로드 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 5] 제어판에서 확인한 현재 설치 버전

 



[
그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 




[
그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

 MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 



 

 

1. 개요

일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다이때사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다


최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다.


본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Bewerbungsmappe-gepackt.exe

파일크기

364,032 Byte

진단명

Trojan/W32.Petr.364032

악성동작

랜섬웨어, 하드디스크 암호화






 


2-2. 유포 경로

해당 악성코드는 파일공유 서비스 “드롭박스” 를 이용하여 유포 되었다공격자는 악성파일을 업로드 한 드롭박스 링크에 접속 유도하여 파일을 다운받게 한다유포방식에 있어서 랜섬웨어가 흔히 사용해오던 가짜 메일을 통한 오피스 매크로 방식이 아닌파일공유 서비스를 이용했다는 점에서 악성코드가 유포 방식이 다양하다는 것을 나타낸다.





2-3. 실행 과정

해당 악성파일은 Bewerbungsmappe-gepackt.exe (독일어로 패키지 애플리케이션 포트폴리오를 의미파일명을 가진 가짜 이력서 파일로 위장하여 실행을 유도한다파일 실행 시 PC 하드디스크에 접근하여 코드 변조 및 암호화를 수행한다이후 강제로 종료 에러를 발생시켜 재부팅을 하게 만든다이 때재부팅을 하게 되면 정상부팅이 되지 않으며, 공격자가 만든 금전을 요구하는 페이지가 나타난다.



[그림 1] 가짜 이력서 파일로 위장한 악성파일





[그림 2] 강제로 발생된 시스템 에러

 

 



3. 악성 동작

3-1. MBR 코드 변조

악성코드는 기존의 정상 MBR 코드를 XOR 연산으로 호화 시킨 후 특정 위치에 백업한다이후 자신의 코드를 MBR 영역의 시작지점과 예약된 공간에 덮어 쓴다정상 MBR 코드의 경우 부팅 가능한 파티션으로 점프 시키는 역할을 하지만덮어 쓰여진 악성코드는 예약된 공간에 쓰여진 추가적인 악성코드로 점프 시킨다.




[
그림 3] MBR 영역에 덮어 쓰여진 악성 코드

 



예약된 공간에 쓰여진 악성코드는 디스크에서 파일을 읽어 들이는 추가적인 부분을 암호화 하며사용자에게 금전을 요구하는 화면을 띄운다.

 



[
그림 4] 변조된 코드로 불가능해진 정상부팅

 



[
그림 5] 랜섬웨어 감염 안내와 금전 요구 화면



4. 결론

MBR 등 하드디스크의 구동에 필요한 직접적인 정보를 변형시켜 컴퓨터의 부팅 자체를 막거나 가지고 있는 데이터를 못쓰게 하는 악성코드는 종종 대규모의 사이버 공격에서 사용되곤 했다.최근엔 이런 방식이 랜섬웨어에서 발견되고 있으며 앞으로도 멈추지 않을 것으로 보인다


이전 파일을 암호화 하는 방식의 랜섬웨어가 정보 소멸의 공포감을 느끼게 하여 금전을 탈취 했다면하드디스크를 조작하는 랜섬웨어는 컴퓨터를 사용 할 수 없게 만들어 사용자에게 더 큰 두려움과 피해를 줄 것으로 예상한다.


랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이거나 의심스러운 파일은 한번 더 신중히 생각하여 실행할 필요가 있으며백신제품의 실시간 감지를 사용하여 의심스러운 파일의 실행을 방지하는 대비도 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0  MBR 보호기능으로 실행을 방지할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0  MBR 보호기능

 



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Radamant (랜섬웨어) 악성코드 분석 보고서  

 



 

1. 개요

파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다.


인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다.


따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분석하고 대응법을 수록하여 사용자에게 랜섬웨어의 위험을 알리고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

DirectX.exe

파일크기

1208,896 byte

진단명

Trojan/W32.Bublik.208896.N

악성동작

랜섬웨어파일 암호화

네트워크

91.***.**.70, 185.***.*.240, 51.***.***.20

 


2-2. 유포 경로

Radamant 랜섬웨어(이하 Radamant)는 2015 12월 초 해외에 처음 발견되어국내에는 지난 12월 크리스마스를 전후하여 쇼핑사이트를 위주로 유포되었다.



2-3. 실행 과정

Radamant 실행 시, Windows 폴더 하위에 숨김 속성의 DirectX.exe가 설치된다이후 감염PC의 공인 IP를 IP 주소 확인 사이트를 통해 조회하여 PC정보와 함께 공격자 서버로 전송한다.


Radamant는 버전 별로 각기 다른 변종들이 존재한다초창기 Radamant v1는 파일을 암호화한 한 후, 확장자를 .RDM 으로 변경하여 이를 이용해 사용자에게 금전을 요구했다. 하지만, 당시 Radamant v1엔 취약점이 존재하여 해외 보안업체에 의해 복호화 툴이 제작/배포되었고 이로 인해 금액을 지불하지 않더라도 파일의 복호화가 가능해졌다


그 후 Radamant 제작자는 새로운 버전인 Radamant.v2를 제작하였고분석 방해를 위해 가상 머신 탐지 기법을 추가하였다. Radamant v2 부터는 초창기 버전과 다르게 암호화한 파일의 확장자가 .RRK 으로 변경된다.




 

3. 악성 동작

3-1. 파일 암호화

Radamant는 사용자 PC의 모든 드라이브 및 이동식 디스크에 존재하는 수많은 확장자를 대상으로 암호화를 실시한다확장자 리스트 중 국내에서 주로 사용하는 확장자인 .hwp(한글 문서) .alz(알약 압축파일)가 발견되었고이는 국내 또한 공격 대상이 되었음을 뜻한다.






[
그림암호화 대상 확장자





[
그림정상 파일(). 암호화된 파일()

 



Radamant는 웹 서버로 복호화 안내 페이지를 운영한다일반적으로 복호화 안내 페이지를 PC에 생성하는 다른 랜섬웨어와 구분되는 특징이다안내 페이지에서는 암호화에 사용된 알고리즘(AES256, RSA2048)과 복호화를 위해 지불해야 할 비용(0.5 BitCoin ≒ 250,000유동적)이 각국의 언어로 설명되어 있다.



[
그림복호화 안내 페이지

 

 

 

3-2. Radamant v1

Radamant의 초기 버전으로 암호화 파일 확장자는 .RDM을 사용했다. 해당 랜섬웨어는 해외 보안업체에서 복호화 프로그램을 제작,배포하였다복호화 키는 Radamant 자체의 취약점을 이용해 제작한 것으로알려진 파일포맷이 없는 일반 데이터 파일(.txt )은 복호화 할 수 없다는 한계가 있다하지만 일정한 파일 형식을 갖는 다른 파일들은 정상적으로 복호화가 가능하며이는 Radamant의 후기 버전이 나오는데 영향을 미친 것으로 보인다.


구 분

Version 1

Version 2

Version 3

복호화 가능 여부

O

O

X

확장자

.RDM

.RDM/.RRK

.RRK


[표Radamant 버전에 따른 복호화 가능 여부 및 암호화 파일 확장자명

 

(출처 - http://blog.emsisoft.com/2015/12/29/strong-indications-that-ransomware-devs-dont-like-emsisoft/)

 

 

 

3-3. Radamant v2, v3

Radamant v1이 복호화 된 이후 해당 악성코드 제작자는 자신의 수익을 방해하는 보안 업체에게 불만을 갖게 되면서해당 업체에 대한 공격적 문자열을 포함한 Radamant v2를 제작하였다이는 파일을 .RRK 확장자로 암호화 진행하는 변종으로, 분석방해를 위해 각종 기법이 동원되었다. (Radamant v2 복호화 안내페이지는 도메인 emisofts**ked.top을 사용한다.)



[
그림악성코드 내 삽입된 보안업체 비방 문자열

 


 

4. 결론

악성코드 제작 목적은 과거엔 자신의 실력을 과시하는 것이 주를 이뤘다하지만 기술이 발전함에 따라 PC이용자가 기하급수적으로 증가하면서 불법적 금융탈취 및 사기 등 범죄용도로 제작되는 경우가 많아졌다특히 과거에는 PC간 데이터를 이동하기 위해 플로피 디스크 등 물리적인 저장매체를 반드시 거쳐야 했다면현재는 인터넷으로 모든 PC가 연결되어 있어 손쉽게 파일과 데이터를 이동할 수 있어 악성코드가 이전보다 쉽게 전파될 수 있게되었다.


무엇보다 다양한 형태의 변종이 만들어지고 있는 랜섬웨어의 경우, 백신 설치와 실시간 검사 이외에도 특별한 보안관리가 필요하다PC 사용자라면 다음과 같은 간단한 생활 수칙으로도 랜섬웨어로 부터 PC를 보호할 수 있다. 의심스러운 이메일은 열람하지 말고 삭제하며, 신뢰할 수 있는 사이트에서 제공하는 정품 소프트웨어를 이용하고, 운영체제 및 소프트웨어 업데이트를 꾸준히할 필요가 있다.


또한, 자동 업데이트가 가능한 백신 소프트웨어를 설치하고 실시간 감시기능을 사용하는 것이 중요하다.

해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

80.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


1.1. 유포경로


랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.


80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.



[그림] 메일을 통해 유포된 랜섬웨어 80.exe






1.2. 80.exe


이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.


임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.






1.3. kgbbpacroic.exe


80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.



[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : Acrndtd (고정)

값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe”

                                                                  (랜덤한 11자 문자)

[] 자동 실행 레지스트리






이후 실행된 PC 의 루트 디렉토리(C:\, D:\ )에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브  내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.


암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.



.avi .m3u .mov .mp4 .wma .wmv

오디오 및 비디오 파일

.crw .jpe .jpeg .jpg .png

이미지 파일

.ai .psd

포토샵 파일

.css .js .py

소스 파일

.csv .doc .docx .pdf .ppt .pptx

.rtf .txt .wpd .wps .xls .xlsx

문서 파일

.pak .rar .zip

압축파일

.bkf

MS 백업파일

.cer

인증서 파일

.cdr

코렐 드로우 파일

.cer

보안 인증서

.dbf

dBase 파일

.dcr

쇽웨이브 파일

.dmp

화면이나 메모리의 덤프 파일

.dwg

오토캐드 파일

.eps

캡슐화된 포스트스크립트 이미지

.gdb

영산정보통신 GVA GVA2000, 압축된 강의 파일

.indd

Adobe, Indesign

.mdb

마이크로소프트 액세스 데이터베이스

.mdf

마이크로소프트, MS-SQL Master 데이터베이스 파일

.pic

PC Paint 비트맵

.pst

마이크로소프트 아웃룩, 개인 폴더 파일

.raw

Raw File Format (비트맵)

.sav

저장된 게임 파일 (일반 명칭)

.svg

W3C, 스케일러블 벡터 그래픽스 파일

(인터넷 멀티미디어 파일 교환용)

.vcf

넷스케이프, 가상 카드 파일

.mcmeta .lvl

게임 관련 파일

[] 암호화 대상 확장자

 


암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.




  [그림] 원본 파일() 과 암호화 된 파일 ()

 



[그림] 원본 파일() 과 암호화 된 파일()

 

 




암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.




[그림] 랜섬웨어 감염 안내문






2. 결론


80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

111.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다.


111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다.



[그림] 감염 전 후 파일비교





모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, 바탕화면에도 복호화 방법을 설명하는 HOWTO_RESTORE_FILES.bmp 2개 파일을 생성한다. 또한 배경화면을 동일 파일로 교체하여 사용자의 PC가 랜섬웨어에 감염되었음을 알린다.



[] 감염된 PC 배경화면





설명 파일에는 이 랜섬웨어가 사용한 암호화 방식(RSA2048)과 복호화 하기 위해 따라야 할 방법이 명시되어있다. 설명 파일이 제공하는 복호화 페이지에 접속하면 아래와 같은 화면을 확인할 수 있고, 복호화를 위해 500 USD를 비트코인으로 제공할 것을 요구한다. 웹 페이지에서는 512 kbyte이하의 한 개 파일에 한해 무료 복호화를 제공하고 있다


테스트결과 암호화 된 파일을 정상적으로 복호화 해지만 이 결과는 돈만 지불하면 암호화된 파일을 정상으로 복구할 수 있음을 의미하진 않는다.



[그림] 복호화 웹페이지





111.exe는 여러 과정을 거쳐 자신을 C:\Documents and Settings\I Am Buster \Application Data 하위에 ytynd-a.exe(“임의의5자리문자열”+”–a.exe”)로 복사한 후 이 복사본으로 악성동작을 수행한다.


악성 동작에는 파일 암호화 외에도 윈도우 정상프로세스 vssadmin.exe를 사용하여 PC 백업 이미지를 삭제하고, ‘작업 관리자’, ‘레지스트리 관리도구등 각종 윈도우 정상 프로세스의 실행을 방해하는 동작이 있다.



[그림] 정상 프로세스 실행 방해





100개이상의 확장자에 대해 암호화를 수행한다. 암호화의 대상이 되는 주요 확장자는 아래와 같다. , 파일 크기가 327 Mbyte이상일 경우 암호화 하지 않는다.



확장자

설명

zip, 7z, rar …

압축 파일

doc, docx, ppt, pptx, xls, xlsx …

오피스 파일

sql, py, c, js …

프로그램 언어 파일

svg, psd, jpg, jpeg, dwg, ai, wma, wmv, flv, avi, mov, mp4 …

미디어 파일

txt, rtf, pdf …

문서 파일

raw, sav, csv, apk, blob, css, html, gho, map, wb2, w3x, xxx …

기타

[] 암호화 대상 확장자




[그림] 암호화 조건





111.exe는 암호화 된 파일에 .ecc 확장자를 붙이는 랜섬웨어 TeslaCrypt 의 변종으로 보인다. TeslaCrypt는 감염 PC내에 key.dat란 파일에 복호화에 필요한 키를 저장해 두고 있어 복호화가 가능한 랜섬웨어로 알려져 있으나, .ccc 확장자를 사용하는 111.exe는 복호화에 필요한 키를 PC에 따로 저장하지 않는다.






2. 결론


일반적으로 랜섬웨어에 감염되었을 시 암호화된 파일을 복구하는 방법은 존재하지 않는다. 감염 시 돈을 지불하면 파일 복구가 가능해 보이지만 100% 복구된다고 보기도 힘들다파일의 복구방법이 없는 만큼, 하나의 PC에 모든 자료를 저장하는 행위는 랜섬웨어에 감염되었을 때 돌이킬 수 없는 피해를 입게 된다


암호화된 파일을 복구하기 힘들기 때문에 사전에 이를 방지하는 것이 중요하다. 일차적으로 불명확한 사이트 방문과 파일 다운로드를 삼가야 하며, 감염 시 피해를 최소화하기 위해 중요 PC의 망 분리 및 핵심 자료들을 독립된 저장매체에 주기적으로 백업해야 한다. 


추가적으로 안티바이러스 제품을 설치 및 실행하며 주기적으로 업데이트 해 줘야한다. nProtect Anti-Virus/Spyware V3.0과 nProtecct Anti-Virus/Spyware V4.0의 실시간 감시 기능이 동작중이면 111.exe 악성코드를 감지하고 치료하기 때문에 사전에 피해를 막을 수 있다. 



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect