DLL 파일로 돌아온 Locky 랜섬웨어 주의



1. 개요


지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

locky.js (임의의 파일명)

파일크기

88,107 byte

진단명

Script/W32.Locky

악성동작

랜섬웨어 다운로더

네트워크

213.***.**.169 – 랜섬웨어 다운로드

 

구분

내용

파일명

xpJcmRk8Ng.dll (임의의 파일명)

파일크기

135,168 byte

진단명

Ransom/W32.Locky.135168.C

악성동작

파일 암호화

네트워크

138.***.***.196 – C&C

 



2-2. 실행 과정

악성 스크립트 파일은 랜섬웨어 DLL 파일을 다운로드 한다. 다운로드가 완료되면 윈도우 기본 프로그램인 rundll32.exe 를 통해 랜섬웨어 DLL 파일을 실행한다. 실행된 랜섬웨어는 사용자의 파일을 암호화하며, 암호화가 완료된 후 다음과 같은 그림으로 바탕화면을 변경하여 감염 사실을 알린다.

[그림 1] 감염된 사용자 PC 화면[그림 1] 감염된 사용자 PC 화면





3. 악성 동작


3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 DLL 형태의 랜섬웨어 파일을 다운로드 한다. 이전과는 다르게 랜섬웨어의 인코딩된 데이터를 다운로드 하며, 다운로드가 완료된 후 실행 가능하도록 디코딩한다.

[그림 2] 인코딩 된 랜섬웨어 다운로드[그림 2] 인코딩 된 랜섬웨어 다운로드



그리고 rundll32.exe 를 통해 랜섬웨어를 실행한다.

[그림 3] rundll32.exe 를 통한 랜섬웨어 실행[그림 3] rundll32.exe 를 통한 랜섬웨어 실행





3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화 

실행된 랜섬웨어는 볼륨 섀도 복사본을 삭제한다. 볼륨 섀도 복사본이란 특정한 시각의 파일이나 폴더 등을 포함한 스냅샷을 저장해둔 것으로, 사용자가 감염 이전 시점으로 복원하는 것을 방지하고자 이를 삭제하는 것으로 보인다.

[그림 4] 섀도 복사본 삭제[그림 4] 섀도 복사본 삭제



볼륨 섀도 복사본을 삭제한 뒤 사용자의 PC 에서 지정한 확장자 파일을 찾은 뒤 암호화 한다. 암호화된 파일의 확장자는 이전 버전에서와 같이 “.zepto” 로 변경되며, 각 폴더에는” _HELP_instrictions.html” 이라는 랜섬노트가 생성된다. 

[그림 5] 암호화된 파일과 랜섬노트[그림 5] 암호화된 파일과 랜섬노트



암호화 대상이 되는 파일의 확장자는 아래 표와 같으며, 국내에서 주로 사용하고 있는 한글문서 확장자인 “.hwp” 도 목록에 있는 것을 확인할 수 있다.

구분

내용

암호화 대상 파일 확장자

.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

[표 1] 암호화 대상 파일 확장자



랜섬노트는 아래와 같이 사용자의 파일이 암호화 되었음을 알려주며, 복호화 및 결제 페이지로 접속하는 방법을 안내한다.

[그림 6] 랜섬노트 내용[그림 6] 랜섬노트 내용



상기의 방법으로 결제 안내 페이지에 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 2.00비트코인을 요구하고 있다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Locky 랜섬웨어는 지속적으로 변종이 나타나고 있다. 랜섬웨어 피해를 최소화하기 위해선 명확하지 않은 파일을 다운로드하지말고, 파일 실행에 주의하여야 한다. 또한, 만일의 사태를 대비하여 중요 파일을 상시 백업을 해놓아야 피해를 최소화 할 수 있다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신버전으로 업데이트 하는 것이 중요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

말하는 랜섬웨어 Cerber 2 분석 보고서





1. 개요


말하는 랜섬웨어로 유명한 Cerber 랜섬웨어는 파일 암호화가 완료되면 .vbs 파일을 통해 사용자에게 암호화 사실을 알려준다. 2016년 4월에서 5월 중에 CryptoWall 과 Locky 랜섬웨어 다음으로 많이 유포되었던 Cerber 렌섬웨어(출처 Fortinet Blog)는 최근 새로운 버전으로 다시 유포되기 시작했는데, 기존과는 다르게 확장자가 ‘.cerber2’로 변경되어 있다.
이번 분석 보고서에서는 새로운 버전으로 나타난 Cerber2 랜섬웨어에 대하여 알아보고자 한다.

[그림] ’16.04.01 – ’16.05.15 랜섬웨어 유포 통계 (출처: FORTINET)[그림] ’16.04.01 – ’16.05.15 랜섬웨어 유포 통계 (출처: FORTINET)





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

cerber2.exe (임의의 파일명)

파일크기

248,965 byte

진단명

Ransom/W32.Cerber.248965

악성동작

파일 암호화





2-2. 실행 과정


Cerber 랜섬웨어가 실행되면 사용자 PC 파일 암호화 동작을 수행한다. 암호화된 파일은 ‘.cerber2’ 라는 확장자와 암호화된 이름의 파일명으로 변경된다. 그리고 각 폴더에 “# DECRYPT MY FILE #” 이라는 이름의 랜섬노트들을 생성한다. 그리고 파일 암호화가 완료되면 “# DECRYPT MY FILE #.vbs” 파일을 실행하여 파일 암호화를 알려주는 음성 메시지를 출력한다.

[그림 1] 암호화된 파일과 랜섬노트[그림 1] 암호화된 파일과 랜섬노트



감염된 사용자 PC 의 바탕화면은 아래의 그림과 같이 변경된다.

[그림 2] 감염된 PC 화면[그림 2] 감염된 PC 화면





3. 악성 동작


3-1. 자동 실행 등록


Cerber 랜섬웨어는 System32 폴더 하위에 존재하는 임의의 파일 이름으로 자신을 복사한다. 그리고 복사된 Cerber 는 파일 암호화를 완료하기 위해 자동 실행에 등록한다. 이를 통해 암호화 도중 PC 가 종료되어도 PC 부팅 시 다시 암호화를 시작하도록 한다. 아래와 같이 시작프로그램에 링크 파일을 생성한 것을 확인할 수 있다.

[그림 3] 시작프로그램에 생성된 링크 파일[그림 3] 시작프로그램에 생성된 링크 파일



Cerber 는 레지스트리 ‘Run’, ‘RunOnce’ 에 자신을 등록하므로 중간에 PC 가 종료되더라도, 재부팅 시 다시 실행되도록 한다. 그리고 ‘Control Panel\Desktop’ 에 SCRNSAVE.EXE 에 랜섬웨어의 경로를 등록해준다. 이는 사용자가 지정된 대기 시간 동안 아무 행동을 하지 않을 때 켜지는 화면보호기를 랜섬웨어로 지정해준 것이다. 이를 통해 화면 보호기 대신 랜섬웨어가 실행된다.

[그림 4] 자동 실행 등록[그림 4] 자동 실행 등록






3-2. 프로세스 종료


현재 실행 중인 특정 프로세스가 있다면 이를 종료한다. 대상 프로세스는 문서, 메신저 등의 프로그램이다. 하나의 파일을 서로 다른 프로그램에서 동시에 수정할 수는 없기에, PC 에 존재하는 모든 파일을 암호화하기 위해 강제로 프로세스를 종료하는 것으로 보인다.


구분

내용

종료 대상 프로세스

excel.exe

infopath.exe

msaccess.exe

mspub.exe

onenote.exe

outlook.exe

powerpnt.exe

steam.exe

sqlservr.exe

thebat.exe

thebat64.exe

thunderbird.exe

visio.exe

winword.exe

wordpad.exe

[표 1] 종료 대상 프로세스



3-3. 파일 암호화


실행된 랜섬웨어는 아래 확장자를 가진 파일에 대해 암호화를 진행하며, 암호화된 파일의 확장자를 .cerber2 로 변경한다.


구분

내용

암호화 대상 확장자

.accdb .mdb .mdf .dbf .db .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt .pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm .xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd .pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx .money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .vpd .sqlite-shm .sqlite-wal

[표 2] 암호화 대상 확장자 목록



파일의 내용이 암호화 되면 기존에 읽을 수 있던 텍스트 파일도 아래와 같이 읽을 수 없는 형태로 나타나는 것을 확인할 수 있다.


[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용



해커는 감염 PC 에 파일 복호화에 대한 비용 지불을 안내한다. 5 일 이내에 지불 할 경우 1.7029 비트코인이지만, 5 일이 지날 경우 2 배에 가까운 3.4058 비트코인을 요구한다.


[그림 6] 결제 금액 요구[그림 6] 결제 금액 요구





4. 결론


Cerber 렌섬웨어는 Raas(Ransomware as a Service) 로, 랜섬웨어를 제작하여 배포하는 집단이 존재하고 있다. 수익을 창출하려는 랜섬웨어 제작자 입장에서 더욱 정교한 랜섬웨어를 만들어 해커에게 판매 및 배포하고자 할 것이다. 정교해지고 있는 랜섬웨어에 따른 피해는 결국 사용자에게 전가된다. 분석한 Cerber 랜섬웨어도 많이 유포되고 있는 만큼 언제든 변형되어 국내에 유입될 수 있으므로 사전에 예방할 수 있도록 주의를 기울여야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

국내 메신저로 위장한 랜섬웨어 분석 보고서




1. 개요


교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다.


해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 해독 서비스 서버까지 구축한 것으로 보아 유포 목적으로 제작한 것으로 추정된다.


[그림] 암호 해독 서비스[그림] 암호 해독 서비스






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sample.exe

파일크기

1,293,824 byte

진단명

Ransom/W32.HiddenTear.1293824

악성동작

사용자 파일 암호화














2-2. 유포 경로

해당 악성코드는 암호화 키가 해커의 서버에 전송되지 않았으며, 해커의 피해자 식별 정보가 하드 코딩된 것으로 보아 랜섬웨어 기능이 제대로 구현되지 않은 개발 단계인 것으로 보인다.


[그림] 하드 코딩된 피해자 식별 정보[그림] 하드 코딩된 피해자 식별 정보



2-3. 실행 과정

경로가 바탕화면 영역에 있는 파일 중, 아래 확장자와 일치하는 모든 파일을 암호화하고 랜섬노트를 출력한다. 드라이브 전체가 아닌 바탕화면 영역의 파일만 암호화 한다. 이는 일반적으로 안티-바이러스 제품이 랜섬웨어 차단을 위해 생성하는 루트 디렉토리의 디코이(Decoy) 파일을 암호화하지 않으므로 랜섬웨어 차단 기능을 피해갈 수 있어 각별한 주의가 필요하다.

[그림] 암호화 대상 확장자[그림] 암호화 대상 확장자


[그림] 랜섬노트[그림] 랜섬노트



3. 악성 동작


3-1. 파일 암호화

이 랜섬웨어는 사용자 디렉토리의 바탕화면을 경로로, 하위 모든 디렉토리의 파일들 중 아래 확장자와 일치하는 파일만이 대상이 된다.

[그림] 암호화 대상[그림] 암호화 대상



아래 그림과 같이 히든-티어와 동일하게 AES 256 알고리즘으로 암호화가 진행되며, 암호화 완료 후에는 파일명 가장 뒤에 “.암호화됨”이라는 확장자를 붙인다.


[그림] 암호화 루틴[그림] 암호화 루틴





4. 결론


이 랜섬웨어는 암호화 부분의 코드 자체가 히든-티어 랜섬웨어와 다른 점이 없다. 히든-티어는 교육용 오픈소스 랜섬웨어인 만큼 복호화 코드도 함께 공개 되어있다. 만약 해당 랜섬웨어가 유포된다면, 현재 분석한 정보보다 랜섬웨어 기능이 확장 및 진화될 가능성이 크다. 따라서, 사용자는 랜섬웨어 감염을 피하기 위해, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않아야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

파일을 제거하는 랜섬웨어, Ranscam 분석



1. 개요 


랜섬웨어는 파일을 인질로 사용자에게 금전을 요구한다. 최근 국외에서는 파일을 암호화하는 대신 파일을 삭제하는 랜섬웨어가 잇달아 등장하고 있다. 6월 말 Anonpop 랜섬웨어가 나온 이후 최근엔 Ranscam 랜섬웨어가 전파되고있다.


두 랜섬웨어 모두 암호화된 파일을 복호화하는 대가로 금액을 요구한다. 하지만 금액을 지불한다고 하더라도 암호화된 파일을 확인하면 복호화되지 않고 제거되어 있다. 이렇게 이른바 가짜(Fake) 랜섬웨어라고도 불리는 ‘삭제형 랜섬웨어' 중 하나인 Ranscam에 대해 이번 보고서를 통해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

winstrsp.exe

파일크기

2,508,224 byte

진단명

Trojan.GenericKD.3380145

악성동작

드롭퍼, 파일 제거

 

구분

내용

파일명

winopen.exewinopen.exe

파일크기

217,600 byte

진단명

Trojan/W32.FakeLocker.217600

악성동작

화면 잠금, 공격자 서버와 통신

 




2-2. 실행 과정

winstrsp.exe 는 AppData 폴더 하위에 자신을 복제하며, 임시 폴더 하위에 임의의 이름을 가진 XML 파일을 생성한다. 생성된 XML 파일은 예약 작업에 등록되며, PC 실행 시에 동작하여 복제된 winstrsp.exe 를 실행한다. 이를 통해 실행된 악성코드는 배치 파일과 winopen.exewinopen.exe 를 생성하고 실행한다. 배치 파일은 사용자 파일 제거 동작과 Payment_Instructions.jpg 를 다운받으며, winopen.exewinopen.exe 는 사용자가 바탕화면이나 다른 작업을 이용할 수 없도록 화면을 잠그는 역할을 한다.


[그림] 악성코드 동작 과정[그림] 악성코드 동작 과정



감염된 사용자 화면에는 아래와 같이 컴퓨터와 파일이 암호화 됐다는 화면과 함께 금전을 요구하는 랜섬노트가 나타난다.


[그림] 감염된 사용자 화면[그림] 감염된 사용자 화면





3. 악성 동작


3-1. 예약 작업 등록 및 PC 종료

winstrsp.exe 는 임의의 XML 파일을 생성한다. XML 파일에는 AppData 경로 하위에 복제한 자기 자신을 실행하는 내용의 명령어를 담고 있다.


[그림] 생성된 XML 파일[그림] 생성된 XML 파일



XML 파일을 생성한 후 윈도우 예약 작업 관리 도구인 schtasks.exe 를 통해 XML 파일을 예약 작업에 등록한다. 등록된 예약 작업은 “Update” 폴더 하위에 아래와 같은 이름으로 등록되어 로그온할 때 작업이 실행되도록 한다.

schtasks.exe /Create /TN “Update\임의의 문자열” /XML “%Temp%\z***”

[표] schtasks.exe 를 통한 예약 작업 등록



[그림] 등록된 예약 작업[그림] 등록된 예약 작업




3-2. 파일 제거

예약 작업을 통해 winstrsp.exe 가 실행되면 새로운 배치 파일을 생성한다. 배치 파일은 파일 삭제나 파일 복구 관련 도구 제거, 작업 관리자 실행 방해 등의 동작을 수행한다. 아래 코드와 같은 방식으로 지정한 경로의 파일과 폴더를 삭제하는 것을 확인할 수 있다.


[그림] 파일과 폴더 제거[그림] 파일과 폴더 제거



Anonpop 은 주로 사용자 폴더 하위의 파일을 목표로 삭제를 시도했다면, Ranscam 은 이에 더해 “Mozilla Firefox”, “Internet Explorer” 와 같이 인터넷 브라우저와 관련된 경로의 파일도 제거한다. Ranscam 이 대상으로 하는 폴더의 위치는 아래의 표와 같다.


%USERPROFILE%\Documents\*

C:\Program Files\Internet Explorer\*

%USERPROFILE%\Downloads\*

C:\Program Files\Opera\*

%USERPROFILE%\Pictures\*

C:\Program Files (x86)\Internet Explorer\*

%USERPROFILE%\Music\*

C:\Program Files (x86)\Google\*

%USERPROFILE%\Videos\*

C:\Program Files (x86)\Mozilla Firefox\*

%USERPROFILE%\Contacts\*

C:\Program Files (x86)\Opera\*

%USERPROFILE%\Favorites\*

%AppData%\Local\Temp\*"

%USERPROFILE%\Searches\*

%USERPROFILE%\Desktop\*

C:\Program Files\Google\*

C:\Windows\System32\Restore\*

C:\Program Files\Windows Defender\*

C:\$RECYCLE.BIN

C:\Program Files\Mozilla Firefox\*

D:\ ~ I:\

[표] 지정된 경로



vssadmin.exe 와 rstrui.exe 파일 제거 시도를 확인할 수 있다. vssadmin.exe 는 볼륨 섀도 복사본을 관리하기 위한 도구이며, rstrui.exe 는 시스템 복원과 관련된 도구이다. 이 두 동작은 감염 이전으로 PC 를 되돌리는 것을 방지하기 위한 것으로 볼 수 있다.


[그림] VSS 와 시스템 복원 제거[그림] VSS 와 시스템 복원 제거




3.3 사용자 행동 제한

레지스트리 ‘DisableTaskMgr’ 를 1로 설정해 작업 관리자 실행을 방해한다. 사용자는 작업 관리자를 사용할 수 없게 되어 악성 프로세스를 종료할 수 없게 된다.

[그림] 작업 관리자 실행 방해[그림] 작업 관리자 실행 방해



사용자가 안전모드로 부팅하는 것을 방해하기 위해, 이와 관련된 레지스트리 제거를 시도한다. 만약 아래의 값들이 지워지면 안전모드로 부팅이 되지 않는다.

[그림] 안전 모드 부팅 방해[그림] 안전 모드 부팅 방해




3-4. 기타 행위

Windows 에 포함되어 있는 Power Shell 명령어를 사용하여 랜섬노트 이미지 파일을 다운로드한다.

[그림] PowerShell 을 통한 사진 다운로드[그림] PowerShell 을 통한 사진 다운로드



다운로드한 이미지는 winstrsp.exe 가 생성하는 winopen.exewinopen.exe 를 통해 윈도우로 출력된다. 생성된 EXE 파일은 또한 화면 잠금 동작을 수행해 사용자가 이 화면 외에 다른 화면은 볼 수 없도록 한다. 우측 하단에 이메일 주소와 메시지를 보내면 해당 이메일을 통해 결제 안내 메시지를 받을 수 있다.

[그림] 공격자에게 메일 전송[그림] 공격자에게 메일 전송



[그림] 공격자로부터 온 메일[그림] 공격자로부터 온 메일





4. 결론


해당 랜섬웨어는 파일을 암호화시키는 것이 아니라 단순히 삭제하기 때문에 디스크에 데이터가 남아있어 복구툴을 이용해 파일을 복구할 수 있다. 하지만 삭제형 랜섬웨어가 다른 형태로 변형되어 파일을 삭제하기 전 원본 데이터를 덮어씌운다면 복구 툴을 사용하더라도 복구가 어려워 진다. 


그러므로 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져 랜섬웨어 공격을 사전에 방지해야 한다.


해당 Ranscam 과 화면 잠금 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Locky의 변종, Zepto 랜섬웨어 분석 보고서 



 

 

1. 개요

연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

FB823FF1EC737DAA.docm

파일크기

39,533 byte

진단명

Trojan-Downloader/W32.MSWord.Gen

악성동작

랜섬웨어 다운로더

네트워크

195.***.***.188 – 랜섬웨어 다운로드






 

구분

내용

파일명

filarmon.exe

파일크기

369,152 byte

진단명

Ransom/W32.Locky.369152

악성동작

파일 암호화

네트워크

148.***.**.29 – C&C

m****v*3.m****st.com – C&C

d****o****y**v.k****t***v.vds.f****th.ru – C&C

 


2-2. 유포 경로

Locky 가 주로 이메일을 통해 유포된 것처럼 Zepto 또한 같은 방식으로 유포된다. 사용자가 메일의 첨부파일을 여는 순간 감염이 시작된며, 매크로 기능을 가진 첨부파일을 실행할 경우 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일을 다운로드 하고 실행한다.



[그림 1] 랜섬웨어를 다운로드 하는 첨부파일





2-3. 실행 과정

첨부된 워드 문서를 열면 아래의 그림과 같이 매크로 설정이 나타난다. 만약 매크로가 활성화되어 있다면 별도의 알림 창 없이 악성 동작이 바로 수행된다. 매크로는 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일(filarmon.exe)을 임시 폴더 하위에 다운로드 한다. 다운로드 된 랜섬웨어 파일은 바로 실행되어 파일 암호화를 진행한다.



[그림 2] 매크로포함 워드문서 보안 경고






3. 악성 동작

3-1. 랜섬웨어 다운로드 및 복구 이미지 제거

첨부파일을 실행시키면 공격자 서버와 연결을 시도한다, 성공적으로 연결되었을 경우 아래와 같이 추가 악성코드를 다운로드 한다. 다운로드 된 파일명은 filarmon.exe 로 임시 폴더 하위에 저장 및 실행되어 파일 암호화를 수행한다.


[그림 3] 네트워크를 통한 파일 다운로드



filarmon.exe 는 윈도우 정상 프로세스 vssadmin.exe 를 통해 시스템 복구 이미지를 삭제한다. 이는 파일이 암호화 된 후사용자가 감염 이전으로 시스템을 복구하는 것을 방지하는 것으로 대부분의 랜섬웨어에서 쉽게 볼 수 있는 동작이다.

 

[그림 4] VSS 제거


 



3-2. 파일 암호화

랜섬웨어는 공격자의 C&C 서버와 통신을 시도한다. 통신이 정상적으로 이루어질 경우 랜섬웨어는 파일에 대한 암호화를 시작한다. 암호화 시 아래의 그림과 같이 원본의 내용과 파일명이 모두 바꾸고, 확장자를 .zepto 로 변경한다. 감염 대상이 되는 파일 확장자는 아래와 같다.


구분

내용

zepto 랜섬웨어

암호화 감염 대상 확장자

.123 .3dm .3ds .3g2 .3gp .602 .aes .arc .asc .asf .asm .asp .avi .bak .bat .bmp .brd .cgm .cmd .cpp .crt .csr .csv .dbf .dch .dif .dip .djv .djvu .doc .docb .docm .docx .dot .dotm .dotx .fla .flv .frm .gif .gpg .hwp .ibd .jar .java .jpeg .jpg .key .lay .lay6 .ldf .m3u .m4u .max .mdb .mdf .mid .mkv .mov .mp3 .mp4 .mpeg .mpg .ms11 .myi .nef .odb .odg .odp .ods .odt .otg .otp .ots .ott .p12 .pas .pdf .pem .php .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .psd .rar .raw .rtf .sch .sldm .sldx .slk .stc .std .sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tbk .tgz .tif .tiff .txt .uop .uot .vbs .vdi .vmdk .vmx .vob .wav .wb2 .wk1 .wks .wma .wmv .xlc .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .zip .c .h .onetoc2 .SQLITE3 .SQLITEDB .litesql .litemod .forge .d3dbsp .asset .qcow2 .tar.bz2…

[표 1] 암호화하는 확장자


[그림 5] 암호화된 파일과 랜섬노트 파일


암호화가 진행됨에 따라 각 폴더에 랜섬노트(HELP_instructions.html)를 생성한다. 랜섬노트에는 이 랜섬웨어에서 사용한 암호화 방식(RSA-2048, AES-128)의 설명과 복호화 방법이 내포돼있다.



[그림 6] 랜섬노트 내용




4. 결론

랜섬웨어에 감염된 파일은 복호화 키를 알아내지 못하면 복구가 불가능하다. 랜섬웨어로 인한 피해가 여전히 나타나고 있으므로 사전에 주의를 하는 것이 매우 중요하다. 


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 MS 매크로 파일과 랜섬웨어 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

MBR 변조로 정상부팅을 막는 satana 랜섬웨어 분석 보고서 



 

 

1. 개요

satana 랜섬웨어는 컴퓨터 부팅에 필요한 정보를 저장하는 하드디스크의 MBR(Master Boot Record)영역을 변조하여 부팅이 불가능하게 만들며 사용자 파일을 암호화한다. 


감염된 컴퓨터가 부팅될 때 *랜섬노트 출력으로 인해 커스텀 부트로더(Bootloader, 윈도우 부팅을 위해 실행되는 명령어)가 정상 작동하지 않으며, 내부 변수 값들이 디버그 메시지로 상세하게 출력되는 등 개발 단계 소프트웨어의 특징이 나타난다.


해당 랜섬웨어의 랜섬노트를 보면 아래 창과 같이 0.5비트코인(2016.07.07일 기준 약 400,000 KRW)지불을 조건으로 복호화 소프트웨어를 전송해 주겠다는 메시지를 담고있다.


*랜섬노트(Ransom note): 일반적으로 유괴범이 쓴 몸값을 요구하는 편지를 의미하는데, 랜섬웨어에서도 비슷한 의미로 암호화된 파일을 인질로 돈을 요구하는 메시지로 통용된다.



[그림] satana의 랜섬노트




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

satana.exe

파일크기

50,861 byte

진단명

Ransom/W32.Satana.50861

악성동작

MBR 변조, 파일 암호화

네트워크

185.xxx.xxx.186 – 감염정보 수신 서버






 


2-2. 유포 경로

satana 랜섬웨어는 아직 유포되지 않은 개발 단계인 것으로 보이는데, 커스텀 부트로더가 정상적으로 랜섬노트를 출력하지 못한다는 점과 디버그 메시지를 통해 아래와 같이 실행 중 내부 변수 값을 상세하게 출력해주는 점이 그 이유이다.

대게 악성코드 제작자들은 최종 결과물에서 이런 디버그 메시지를 남기지 않는 것이 일반적이다.



[그림] 동작 중 출력되는 디버그 메시지





2-3. 실행 과정

satana 랜섬웨어는 http://185.***.**.186/add.php로 아래와 같은 감염 정보를 송신한다.

- sdata: [커널 버전].[빌드 번호] [서비스팩] [사용자 이름]

- name: 최초 실행된 바이너리 이름

- dlen: 해커의 감염자 식별 코드



[그림] 감염 정보 패킷 송신



이후 %TEMP% 폴더 하위에 랜섬노트 !satana!.txt 를 생성하고, 임의의 파일명으로 자가 복제 후 실행시킨다. 복제된 파일 실행 시 사용자 계정 컨트롤(UAC)창이 나타난다. UAC 알림 창은 관리자 권한을 요구하는 어플리케이션이 실행될 때 실행해도 되는 파일인지 한번 더 확인 시켜주는 정책이다. 권한 요청을 허용하지 않아 실행되지 않도록 해도 숙주 파일(satana.exe)이 반복해서 복제된 파일을 실행시키기 때문에 UAC창은 지속적으로 나타난다.


[그림] UAC 알림 메시지



이후 악성 동작은 관리자 권한을 얻은 복제된 파일에서 수행된다.


 



3. 악성 동작

3-1. MBR 변조

MBR을 자신의 랜섬노트를 출력하기 위한 커스텀 부트로더로 변경한다.


[그림] satana의 커스텀 부트로더


 

[그림] 부트로더에 포함된 랜섬 노트


 



3-2. 파일 암호화

윈도우가 하드디스크 볼륨의 스냅샷을 백업해 놓은 파일인 볼룸 섀도우 복사본(Volume Shadow Copy)을 삭제하기 위해 %SystemRoot%\system32\VSSADMIN.EXE을 “Delete Shadows /All /Quiet” 옵션으로 실행시킨다.


파일 암호화가 진행되면 파일명은 아래 그림과 같이 “이메일___원본파일명.확장자” 형식으로 변경된다.


[그림] 변경 전(좌)과 변경 후(우)의 파일명



암호화 된 파일은 아래 그림처럼 원본과 동일한 패턴을 보인다. 일반적으로 암호화 전후 패턴이 같은 경우 블록 암호화 방식 또는 XOR연산을 기반으로 암호화 방식이 쓰인 경우가 많다.



[그림] 변경 전(좌)과 변경 후(우)의 파일명




4. 결론

satana 랜섬웨어는 악성 동작을 행할 때 관리자 권한을 필요로 하므로 UAC 창을 출력시킨다. 권한을 얻을 때까지 계속해서 UAC창을 출력하기 때문에 사용자는 감염을 피하기 어렵게 느낄 수 있다. 이 때 실행되어 있는 숙주 파일의 프로세스를 종료시키고 허용을 거부하면 피해를 막을 수 있다. 하지만 아직 유포되기 전인 미완성 악성코드인 만큼, 이후 UAC우회 기능이 추가될 가능성이 있기 때문에 각별한 주의가 필요하다.


대부분의 기능이 제대로 작동하는 점에서 랜섬웨어 유포 가능성이 매우 높다. 사용자는 랜섬웨어 감염을 피하기 위해서 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염 예방을 해야 할 것이다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 



 

 

1. 개요

지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다.


참고 : PEYTA 랜섬웨어 보고서




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

PDFBewerbungsmappe.exe

파일크기

899,584 Byte

진단명

Trojan/W32.Mikhail.899584

악성동작

혼합 랜섬웨어






 


2-2. 유포 경로

PETYA 랜섬웨어가 독일어로 된 이력서 파일로 위장하고 있듯이 이번 PETYA-MISCHA 변종 랜섬웨어도 PDFBewerbungsmappe(독일어로 지원서) 라는 파일명으로 사용자를 속이고 있다. 또한, 독일어를 알지 못해 이력서파일로 위장한 지 몰라도 파일 아이콘 모양이 PDF 아이콘 모양을 띄고있어, “알려진 파일 형식의 파일 확장명 숨기기” 옵션을 사용하고 있는 사용자는 일반 PDF 파일로 착각하여 실행 할 위험이 있다.


[그림 1] 확장명 숨기기 옵션을 사용하지 않을 경우 나타나는 파일 확장명(.exe)





2-3. 실행 과정

해당 악성코드의 특징은 실행 시 자신을 다른 계정으로 실행시킬 수 있도록 만들어 이 과정에서 메시지 창이 출력된다. 사용자 계정 컨트롤(UAC) 또는 다른 계정으로 실행하는 알림창에서 예(확인) 또는 아니오(취소)를 선택하면 선택에 따라 각기 다른 악성동작을 수행한다. ‘예’를 누를 경우 PETYA(MBR 변조) 동작이 진행되며, ‘아니오’를 누르면 MICHA(파일 암호화) 동작을 수행한다.


해당 알림창이 출력됐다고 해서 무조건 악성코드에 감염되는 것은 아니다. 본격적인 암호화 또는 MBR 변조 행위는 알림창에서 예, 아니오를 선택한 이후에 동작이 되므로 알림창이 출력된 상태에서 PC를 강제종료 하면 악성동작을 수행하지 않는다.


[그림 2] 다른 계정(권한)으로 악성코드를 실행하도록 만드는 코드



[그림 3] 윈도우7에서 악성코드 실행 시 출력되는 사용자 계정 컨트롤 창



[그림 4] 윈도우XP에서 악성코드 실행 시 출력되는 알림창

 

 



3. 악성 동작

3-1. 백신 탐지

PETYA-MISCHA 변종 랜섬웨어는 Program Files 경로의 백신이 설치된 폴더 속성을 조회한다. 대상이 되는 백신은 아래와 같다.


[그림 5] 조회 대상이 되는 백신명


 

[그림 6] 실제 악성코드에서 사용하는 문자열


 



3-2. 코드 인젝션

사용자 계정 컨트롤(UAC) 창에서 아니요 또는 종료 단추를 클릭하면 악성코드는 exeplorer.exe에 인젝션을 시도한다. 이후 다른 프로세스로 인젝션 된 코드에서 파일을 암호화를 수행한다.


[그림 7] 특정 프로세스에 인젝션을 시도하는 코드



3-3. 파일 암호화

인젝션 된 코드에서 각 종 파일을 암호화하며 각 폴더에 복호화 안내문 파일인 YOUR_FILES_ARE_ENCRYPTED.HTML 과 YOUR_FILES_ARE_ENCRYPTED.TXT 를 생성한다. 암호화 대상이 되는 파일의 확장자는 아래와 같으며, 암호화 된 파일은 4자리의 임의의 문자열로 된 확장자를 갖는다.


[그림 8] 암호화 대상 확장자 명


[그림 9] 사용자 파일과 지정된 확장자를 비교하는 코드




[그림 10] 파일 암호화 전과 후 비교




3-4. MBR 코드 변조

사용자 계정 컨트롤(UAC) 창에서 예(확인)를 선택 했을 시 기존의 PETYA 와 같은 방식으로 MBR 을 변조시킨다. MBR 변조가 완료 되면 강제로 PC를 종료 시키며 정상 부팅이 되지 않는다. 이후 PETYA와 동일한 방식으로 금전을 요구한다.



[그림 11] MBR 변조 후 금전 요구 안내화면


4. 결론

하나의 악성코드에 또 다른 악성동작이 추가 되어 새로운 변종이 나타나는 경우는 종종 있다. 이번 보고서에선 일반 악성코드가 아닌 최근 유행하고 있는 랜섬웨어에 악성동작이 추가되었다는 점에서 주의 깊게 볼 필요가 있다. 특히 파일 실행 후 출력되는 사용자 계정 컨트롤(UAC) 창에서 악성코드가 의심되어 ‘아니오’ 버튼을 누르더라도 PC의 파일이 암호화가 된다는 점에서, 사용자가 해당 악성코드를 자세히 알지 못하는 한 감염을 피하기 어렵다. 


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 의 MBR 보호기능으로 실행을 방지할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 12] nProtect Anti-Virus/Spyware V4.0  MBR 보호기능

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 JavaScript(JScript)를 이용한 RAA 랜섬웨어 



 

 

1. 개요

JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 


잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

RAA.js

파일크기

758,931 Byte

진단명

Script-VBS/W32.RAA

악성동작

파일 암호화를 통한 Bit-coin 요구






 



2-2. 유포 경로

RAA 랜섬웨어는 워드파일로 위장한 .js 파일을 이메일을 통해 유포되는 것으로 일반적으로 알려져 있다. 하지만 유포방식 및 공격방식은 추후 다른 방법으로 변경될 가능성이 있다.





2-3. 실행 과정

해당 악성파일은 JavaScript 파일(.js 파일)이지만 Windows 운영체제에서 실행이 가능하다. Script로 작성된 파일은Windows에서 지원하는 WSH(Windows Scripting Host) 기술을 통해 동작한다. RAA 랜섬웨어가 실행 되면 가장 먼저 가짜 워드 파일을 출력시켜 사용자의 주의를 돌리고 그 사이 암호화를 수행한다. 암호화가 끝난 뒤 RAA는 또 다른 정보탈취형 악성코드를 생성하고 실행한다.


[그림 1] 사용자의 주의를 돌리기 위한 가짜 문서 및 해당 내용





3. 악성 동작

3-1. 시작 프로그램 등록 및 VSS 삭제

RAA 는 동작하고 있는 wscript.exe 프로세스 수와 이전의 RAA 랜섬웨어가 암호화를 끝내고 설정한 “Raa-fnl” 레지스트리 값을 읽어 들여 RAA 랜섬웨어가 중복 실행됐는지 확인한다. 처음 실행이라면 현재 스크립트 파일이름을 Run 레지스트리 하위 값으로 설정한다. 또한 Windows 의 백업기능인 VSS(Volume Snapshot Service) 관련 정보를 삭제하고 실제 암호화 루틴을 수행한다.



[그림 2] JS 파일을 Run 레지스트리에 등록

 



[그림 3] 제거 된 VSS 관련 레지스트리 값




3-2. 암호화

RAA 랜섬웨어는 중복 실행됐는지 확인하고 처음 동작이라면 새 GUID 를 생성하여 감염된 사용자의 식별 아이디로 삼는다. 또한, 생성한 GUID 값을 특정 서버로 보내 응답 받은 값으로 실제 암호화에 쓰일 키를 생성한다.


[그림 4] GUID 값 생성 및 읽기


[그림 5] 생성 된 사용자 고유 ID (GUID 값)




암호화 대상이 되는 파일 확장자는 [표 1]과 같으며, 총 16개의 종류가 대상이다. [표 2]와 같은 폴더의 하위 파일은 암호화를 수행하지 않는다.


 

.doc .xls .rtf .pdf .dbf .jpg .dwg .cdr .psd.cd .mdb .png .lcd .zip .rar .csv

[표 1] 암호화 대상 파일 확장자



WINDOWS, RECYCLER, Program Files, Program Files (x86), Windows, Recycle.Bin, RECYCLE.BIN, Recycler, TEMP, APPDATA, AppData, Temp, ProgramData, Microsoft

[표 2] 암호화 대상에 들어가지 않는 폴더명





RAA 에서는 파일을 암호화 하기 위해 CryptoJS 라이브러리의 AES 암호화 방식을 사용한다. 파일은 크기에 따라 총 3가지 다른 방식으로 암호화 하며, 크기가 약 476MB 이상인 파일에 대해서는 암호화 하지 않는다. 암호화가 끝난 파일에 대해서는 “.locked” 확장자를 붙이며 암호화된 파일은 현재까지 복구가 불가능 하다.



[그림 6] 실제 데이터를 암호화하는 부분





모든 암호화를 끝낸 뒤 wordpad.exe 를 통해 랜섬웨어에 대한 안내문을 출력하고, “Raa-fnl” 레지스트리에 “beenFinished” 라는 값을 설정한다. 이 값은 RAA 가 시작할 때 검사하는 값으로 이미 동작 완료한 PC에서 다시 동작하지 않도록 한다.


[그림 7] 랜섬웨어 감염 안내 및 금전 요구 화면




[그림 8] 암호화가 끝난 뒤 설정하는 값과 안내문을 출력하는 코드



3-2. 추가 악성코드 실행

해당 랜섬웨어는 인포-스틸러(정보탈취 악성코드)를 추가적으로 드랍하고 실행시킨다. st.exe 라는 이름으로 드랍되는 이 악성코드는 PC 에 저장 된 FTP, 비트코인 지갑, 공유 드라이브, 웹 로그인 등의 계정정보를 조회하여 공격자에게 전송한다. 분석시점에서는 원격지에 연결이 되지 않고 있다.






4. 결론

Javascript를 이용한 랜섬웨어는 Ransom32 악성코드가 최초인 것으로 알려져 있어 RAA 랜섬웨어를 완전히 새로운 형태의 랜섬웨어로 보긴 어렵다. 


하지만, 일반 악성코드는 스크립트 파일이 부수적인 역할을 해왔던 반면, 이와 다르게 RAA 랜섬웨어는 Javascript로 단독 실행된다는 점에서 주의깊게 볼 필요가 있다. 또한, 파일 암호화 악성동작 외에도 사용자 계정정보를 탈취하는 악성코드를 추가 실행시키므로 2차 피해를 입기 쉽다. 


RAA 랜섬웨어는 감염 안내문을 볼 때 타깃이 러시아일 것으로 추정된다. 하지만, 비슷한 형태의 변종이 언제든지 국내에 유입될 수 있기 때문에 안심해서는 안된다.


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한, nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-검사 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 11] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서

 



 

1. 개요

최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

ZCrypt.exe (파일명 확인되지 않음)

파일크기

536, 699 Byte

진단명

Ransom/W32.ZCryptor.536699

악성동작

파일 암호화를 통한 금전(Bit-coin) 요구











2-2. 유포 경로

랜섬웨어는 대체적으로 불특정 다수를 대상으로 분포되며 주로 웹사이트의 취약점이나 이메일의 첨부파일 형식으로 전파된다. ZCrypt 역시 초기엔 워드 매크로에 삽입되어 이메일을 통해 전파 된 것으로 보인다. 

ZCrypt가 다른 랜섬웨어과 차별되는 점은 감염 이후에 볼 수 있다. ZCrypt는 이동식 디스크가 연결되어 있는지 확인한 후 해당 디스크에 autorun.inf 파일과 자기자신을 복사하여 감염시킨다. 이 후 감염된 이동식 디스크가 다른 PC에 연결되면 복사된 ZCrypt가 자동으로 실행되면서 2차 피해를 꾀했다.





2-3. 동작

ZCrypt 랜섬웨어는 NSIS(Nullsoft Scriptable Install System)를 이용한 설치파일의 일종으로 악성 행위에 필요한 파일들이 압축형태로 저장되어 있다. ZCrypt 설치 파일이 내포하고 있는 파일 중 System.dll 은 NSIS 에서 사용하는 정상 모듈이고, 그 외 SetCursor.dll 과 .cCS, .9 파일은 실제 악성동작에서 사용하는 모듈 및 파일이다. 


ZCrypt 랜섬웨어의 특징적인 부분은 대상 OS 버전이 Windows XP 일 때는 동작하지 않는 것이다. 최근 OS 점유율을 보면 Windows XP 는 공식지원이 끝났지만 2016년 1월부터 5월까지 OS 시장 점유율을 살펴보면 아직까지 10% 이상의 점유율을 보이고 있다. 일반적인 악성코드가 더 많은 감염자를 발생시키기 위해 최대한 많은 OS 버전에서 동작 할 수 있도록 하는 것과 달리 ZCrypt 랜섬웨어는 특정 OS에선 동작하지 않는다는 차이점을 보인다.



[그림 1] 원본 ZCrypt 파일이 가지고 있는 모듈 및 파일




[그림 2] 2016년 OS 시장 점유율

(출처 : NETMARKETSHARE Market Share Report, Desktop Operating System Market Share, 2016.01~2016.05)





3. 악성 동작

3-1. 시작프로그램 등록 및 자가복제

악성코드 실행 시 Run 레지스트리 하위에 ‘zcrypt’라는 이름으로 자기 자신을 등록하며 시작프로그램에도 .lnk 파일 형태로 자기자신의 실행파일을 연결한다. 시작프로그램 폴더에는 재부팅 후 사용자에게 바로 보여질 수 있는 랜섬웨어 안내문 ‘How to decrypt files.html’ 도 생성한다. 또한, %APPDATA% 폴더 하위에 zcrypt.exe 이름으로 자기 자신을 복사한다.




3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.



[그림 3] USB에 생성된 파일


3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.


.gif .zip .7z .mp4 .avi .mkv .wmv .swf .pdf .sql .txt .jpeg .jpg .png .bmp .psd .doc .docx .rtf .xls .xlsx .odt .ppt .pptx .ai .xml .c .cpp .asm .js .php .cs .aspx .html .conf .sln .mdb .asp .3fr .accdb .arw .bay .cdr .cer .cr2 .crt .crw .dbf .dcr .der .dng .dwg .dxf .dxg .eps .erf .indd .kdc .mdf .mef .mrw .nef .nrw .odb .odp .ods .orf .p12 .p7b .p7c .pdd .pef .pem .pfx .pst .ptx .r3d .raf .raw .rw2 .rwl .srf .srw .wb2 .wpd .jnt .pub .trc .gz .tar .jsp .pl .py .rb .mpeg .msg .log .vob .max .3ds .3dm .db .cgi .jar .class .java .bak .pdb .apk .sav .cbr .pkg .tar .gz .fla .h .sh .vb .vcxproj .XCODEPROJ .eml .emlx .mbx .vcf


[그림 4] 암호화 대상 파일 확장자 목록




[그림 5] 암호화 된 파일




암호화가 완료 된 뒤 암호화를 진행한 폴더 안에 안내문 파일을 생성하여 피해자에게 금전을 요구한다.



[그림 6] 암호화 후 생성된 랜섬웨어 안내문


4. 결론

최근 여러 가지 공격방법을 적용시켜 만든 랜섬웨어가 발견되고 있다. 이동식 디스크를 통한 전파방식은 근래에 많이 사용되지 않았기 때문에 사용자들이 방심할 수 있는 부분을 노린 것으로 보인다. 또한, 기업이나 단체에서의 파일 이동은 아직 이동 저장장치를 통해서 이뤄지는 곳이 많이 때문에 기업 내로 퍼질 경우 피해가 상당 할 것으로 생각된다. 


따라서 이동식 디스크의 자동실행을 수행하지 않도록 설정하는 것이 해당 랜섬웨어 뿐만 아닌 다른 악성코드에 대해서도 안전한 방법이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 에서는 USB 등 이동식 디스크의 자동실행을 방지하는 기능과 자동 검사가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[
그림 8nProtect Anti-Virus/Spyware V4.0 이동식 디스크 자동 실행 방지 기능 설정





[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

CryptXXX 랜섬웨어 분석 보고서 



 

1. 개요

흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

CryptXXX.dll (임의의 파일명)

파일크기

402, 432 Byte

진단명

Ransom/W32.CryptXXX.402432

악성동작

파일 암호화를 통한 Bit-coin 요구








 

2-2. 유포 경로

CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다. Angler Exploit Kit 은 취약점을 찾아 악성코드를 다운로드 및 실행 할 수 있게 하는 소프트웨어 킷 이다. Angler Exploit Kit으로 리다이렉트되도록 설정된 손상된 웹서버에 사용자가 접속하면, Angler Exploit Kit 내부 다운로더에 의해 CryptXXX 파일이 다운로드 된다.





[그림 1] CryptXXX 유포방식




2-3. 실행 과정

해당 악성파일은 .dll 파일이기 때문에 파일 특성상 자체 실행이 불가능하다. 따라서 CryptXXX는 기존 rundll32.exe 의 이름을 svchost.exe 로 바꾸어 자신이 다운로드 된 곳으로 복사하며 이후 복사된 svchost.exe 를 통하여 자기자신을 동작시킨다. svchost.exe 는 윈도우 구동에 있어 필수적으로 사용되는 프로세스로 기본적으로 여러 개의 svchost.exe 가 동작하고 있기 때문에 해당 프로세스의 정보를 확인하지 않는 한 사용자가 쉽게 알아차리기 힘들다.




[그림 2] 악성 DLL이 로드 된 svchost.exe 프로세스



[그림 3] 악성 DLL 내의 익스포트(Export) 된 함수를 실행 중인 svchost.exe



3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 각종 파일들을 암호화 하고 기존 파일의 확장자를 “.crypt” 로 변경한다. 또한, 암호화를 수행하는 모든 경로에 “!Recovery_[사용자ID]” 형식의 이름으로 랜섬웨어 관련 안내 텍스트 파일과 html 파일을 드롭 한다.



[그림 4] 랜섬웨어 실행 후 암호화 된 테스트 파일 목록





[그림 5] 암호화 후 생성된 랜섬웨어 안내 텍스트 파일





하기의 목록은 CrytpXXX 가 암호화하는 확장자 목록이다. 다양한 파일의 확장자로 암호화의 대상을 지정하고 있으며 특히 국내에서 주로 쓰이는 한글 파일 포맷(.HWP)도 포함되어 있다.


.DS .PDT .PE4 .PEF .PEM .PDB .PDD .PDF .PFF .PFI .PFS .PFV .PFX .PGF .PGM .PHM .PHP .PI1 .PI2 .PI3 .PIC .PICT .PIF .PIX .PJPG .PJT .PL .PLT .PM .PMG .PNGA .PNIM .PNM .PNTG .PNZ .POP .POT .POT .POTX .PP4 .PP5 .PPAMES .PPM .PPS .PPSM .PPSXON .PPT .PPTM .PPTX .PRFR .PRIVCP .PRIVATE .PRT .PRW .PS .PSD .PSDX .PSE .PSID .PSP .PSPIMAGE .PSW .PTG .PTH .PTX.PU .PVJ .PVM .PVR .PWACO .PWI .PWRM .PXR.PY .PZ3 .PZA .PZP .PZS .QCOW2 .QDL .QMGE .QPX .QRY .QVD .RA .RAD .RAR .RAS .RAWUM .RCTD .RCU .RDB .RDDS .RDL .RFT .RGB .RGFA .RIB .RIC .RIFF .RIS .RIX .RLE .RLI .RM .RNG .RPD .RPF .RPT .RRI .RSB .RSD .RSR .3DM .3DS .3G2 .3GP .4DB .4DL .4MP .7Z .A3D .ABM .ABS .ABW .ACCDB .ACTUM .ADN .ADP .AES .AF2 .AF3 .AFT .AFX .AGIF .AGP .AHD .AI .AIC .AIF .AIM .ALBM .ALF .ANI .ANS .APD .APK .APM .APNG .APP .APS .APT .APX .ARC .ART .ARW .ASC .ASE .ASF .ASK .ASM .ASP .ASPX .ASW .ASX .ASY .ATY .AVI .AWDB .AWP .AWT .AWW .AZZ .BAD .BAK .BAY .BBS .BDB .BDP .BDR .BEAN .BIB .BM2 .BMP .BMX .BNA .BND .BOC .BOK .BRD .BRK .BRN .BRT .BSS .BTD .BTI .BTR .BZ2 .C .C2 .C4 .C4D .CAL .CALS .CAN .CD5 .CDB .CDC .CDG .CDMM .CDMT .CDR .CDR3 .CDR4 .CDR6 .CDT .CER .CF .CFG .CFM .CFU .CGI .CGM .CIMG .CIN .CIT .CKP .CLASS .CLKW .CMA .CMD .CMX .CNM .CNV .COLZ .CPC .CPD .CPG .CPP .CPS .CPT .CPX .CRD .CRT .CRWL .CRYPT .CS .CSR .CSS .CSV .CSY .CUE .CV5 .CVG .CVI .CVS .CVX .CWT .CXF .CYI .DAD .DAF .DB .DB3 .DBF .DBK .DBT .DBV .DBX .DCA .DCB .D .DCS .DCT .DCU .DCX .DDL .DDOC .DDS .DED .DF1 .DG .DGN .DGS .DHS .DIB .DIF .DIP .DIZ .DJV .DJVU .DM3 .DMI .DMO .DNC .DNE .DOC .DOCB .DOCM .DOCX .DOCZ .DOT .DOTM .DOTX .DP1 .DPP .DPX .DQY .DRW .DRZ .DSK .DSN .DSV .DT .DT2 .DTA .DTD .DTSX .DTW .DVI .DVL .DWG .DX .DXB .DXF .DXL .ECO .ECW .ECX .EDB .EFD .EGC .EIO .EIP .EIT .EMD .EMF .EML .EMLX .EP .EPF .EPP .EPS .EPSF .EQL .ERF .ERR .ETF .ETX .EUC .EXR .FAL .FAQ .FAX .FB2 .FB3 .FBL .FBX .FCD .FCF .FDB .FDF .FDR .FDS .FDT .FDX .FDXT .FES .FFT .FH10 .FH11 .FH3 .FH4 .FH5 .FH6 .FH7 .FH8 .FIC .FID .FIF .FIG .FIL .FL .FLA .FLI .FLR .FLV .FM5 .FMV .FODT .FOL .FP3 .FP4 .FP5 .FP7 .FPOS .FPT .FPX .FRM .FRT .FT10 .FT11 .FT7 .FT8 .FT9 .FTN .FWDN .FXC .FXG .FZB .FZV .GADGET .GBK .GBR .GCDP .GDB .GDOC .GED .GEM .GEO .GFB .GGR .GIF .GIH .GIM .GIO .GLOX .GPD .GPG .GPN .GPX .GRO .GROB .GRS .GSD .GTHR .GTP .GV .GWI .GZ .H .HBK .HDB .HDP .HDR .HHT .HIS .HPG .HPGL .HPI .HPL .HS .HTC .HTM .HTML .HZ .HWP .I3D .IB .IBD .IBOOKS .ICN .ICON .IDC .IDEA .IDX .IFF .IGT .IGX .IHX .IIL .IIQ .IMD .INDD .INFO .INK .IPF .IPX .ITDB .ITW .IWI .J2C .J2K .JAR .JAS .JAVA .JB2 .JBMP .JBR .JFIF .JIA .JIS .JKS .JNG .JOE .JP1 .JP2 .JPE .JPEG .JPG .JPG2 .JPS .JPX .JRTF .JS .JSP .JTX .JWL .JXR .KDB .KDBX .KDC .KDI .KDK .KES .KEY .KIC .KLG .KML .KMZ .KNT .KON .KPG .KWD .LAY .LAY6 .LBM .LBT .LDF .LGC .LIS .LIT .LJP .LMK .LNT .LP2 .LRC .LST .LTR .LTX .LUA .LUE .LUF .LWO .LWP .LWS .LYT .LYX .M .M3D .M3U .M4A .M4V .MA .MAC .MAN .MAP .MAQ .MAT .MAX ..MB .MBM .MBOX .MDB .MDF .MDN .MDT ..ME .MEF .MELL .MFD .MFT .MGCB .MGMT .MGMX .MID .MIN .MKV .MMAT .MML .MNG .MNR .MNT .MOBI .MOS .MOV .MP3 .MP4 .MPA .MPF .MPG .MPO .MRG .MRXS .MS11 .MSG .MSI .MT9 .MUD .MWB .MWP .MXL .MYD .MYI .MYL .NCR .NCT .NDF .NEF .NFO .NJX .NLM .NOTE .NOW .NRW .NS2 .NS3 .NS4 .NSF .NV2 .NYF .NZB .OBJ .OC3 .OC4 .OC5 .OCE .OCI .OCR .ODB .ODG .ODM .ODO .ODP .ODS .ODT .OFL .OFT .OMF .OPLC .OQY .A .F .T .X .OTA .OTG .OTI .OTP .OTS .OTT .OVP .OVR .OWC .OWG .OYX .OZB .OZJ .OZT .P12 .P7S .P96 .P97 .PAGES .PAL .PAN .PANO .PAP .PAQ .PAS .PB .PBM .PC1 .PC2 .PC3 .PCD .PCS .PCT .PCX .RT .RTD .RTF .RTX .RUN .RW2 .RWL .RZK .RZN .S2MV .S3M .SAF .SAI .SAM .SAVE .SBF .SCAD .SCC .S .SCI .SCM .SCT .SCV .SCW .SDB .SDF .SDM .SDOC .SDW .SEP .SFC .SFW .SGM .SH .SIG .SITX .SK1 .SK2 .SKM .SLA .SLD .SLDX .SLK .SLN .SLS .SMF .SMIL .SMS .SOB .SPA .SPE .SPH .SPJ .SPP .SPQ .SPR .SQB .SQL .SQLITE3 .SQLITEDB .SR2 .SRT .SRW .SSA .SSK .ST .STC .STD .STE .STI .STM .STN .STP .STR .STW .STY .SUB .SUMO .SVA .SVF .SVG .SVGZ .SWF .SXC .SXD .SXG .SXI .SXM .SXW .T2B .TAB .TAR .TB0 .TBK .TBN .TCX .TDF .TDT .TE .TEX .TEXT .TF .TFC .TG4 .TGA .TGZ .THM .THP .TIF .TIFF .TJP .TLB .TLC ..TM .TM2 .TMD .TMP .TMV .TMX ..TN .TNE .TPC .TPI .TRM .TVJ .TXT .U3D .U3I .UDB .UFO .UFR .UGA .UNX .UOF .UOP .UOT .UPD .USR .UTF8 .UTXT .V12 .VB .VBR .VBS .VCF .VCT .VCXPROJ .VDA .VDB .VDI .VEC .VFF .VMDK .VML .VMX .VNT .VOB .VPD .VPE .VRML .VRP .VSD .VSDM .VSDX .VSM .VST .VSTX .VUE .VW .WAV .WB1 .WBC .WBD .WBK .WBM .WBMP .WBZ .WCF .WDB .WDP .WEBP .WGZ .WI .WKS .WMA .WMDB .WMF .WMV .WN .WP .WP4 .WP5 .WP6 .WP7 .WPA .WPD .WPE .WPG .WPL .WPS .WPT .WPW .WRI .WSC .WSD .WSF .WSH .WTX .WVL .X3D .X3F .XAR .XCODEPROJ .XDB .XDL .XHTM .XHTML .XLC .XLD .XLF .XLGC .XLM .XLR .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .XML .XPM .XPS .XWP .XY3 .XYP .XYW .YAL .YBK .YML .YSP .YUV .Z3D .ZABW .ZDB .ZDC .ZIF .ZIP .ZIPX .ZW


[그림 6] 암호화 대상 확장자 목록



3-2. PC 사용 불능 및 자가파일 삭제

CryptXXX 는 파일 암호화를 마치고 일정시간 경과 후 PC 화면 전체를 덮는 랜섬웨어 안내문을 출력한다. 안내문이 출력 된 상태에서는 PC 제어가 불가능하지만 재부팅 이후에 다시 정상적인 사용이 가능하다. 또한, 해당 과정에서 원본 DLL 파일이 삭제된다.


[그림 7] 랜섬웨어 안내문




4. 결론

분석한 CryptXXX 는 취약점을 이용하여 .dll 파일을 동작시키며 Exploit Kit 을 통해 전파된다. 또한, 악성파일 자체가 .dll 파일 인 것과 더불어 svchost.exe 이름의 프로세스를 통해 동작하기 때문에 일반 사용자가 쉽게 알아 차릴 수 없다. 해당 랜섬웨어는 꾸준히 업데이트 되며 현재 CryptXXX 3.0 버전 까지 배포되고 있다. 더욱이 최근에는 한글화 된 버전도 발견되어 국내 사용자도 각별한 주의가 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect