Israbye Ransomware 분석 보고서 



1. 개요 


최근 특정 국가를 겨냥한 새로운 유형의 랜섬웨어가 발견 되었다. 일반적으로 랜섬웨어는 파일을 인질로 잡고 이를 복구하기 위한 방법으로 금전을 요구한다.


하지만, 이번에 발견 된 ‘Israbye’ 랜섬웨어는 다른 랜섬웨어들과 다르게 특정 국가를 비난하는 내용을 목적으로 제작된 것으로 보이며 금전을 요구하지 않고 데이터파일을 사용할 수 없게 만든다.


또한 윈도우 작업표시줄을 사라지게 하거나 마우스 커서에 특정 문구가 따라다니게 만들어 정상적인 PC이용을 할 수 없도록 만들고 있어 주의가 필요하다.


이번 보고서에서는 ‘Israbye’ 랜섬웨어는 어떠한 동작을 하는지 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

israbye.exe

파일크기

6,978,560 byte

악성동작

데이터 파일 파괴










2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 첨부하여 유포되고 있는 것으로 추정 된다. 



2-3. 실행 과정

‘Israbye’ 랜섬웨어가 실행 되면 ‘임시폴더’ 경로와 ‘시작프로그램’ 경로에 추가적으로 악성동작에 필요한 다수의 파일을 생성하고 실행한다. 다른 랜섬웨어들과는 다르게 파일을 암호화하기 보다는 특정 문자열을 원본 데이터에 덮어 씌워 원본 파일이 유실되도록 만들고 랜섬노트를 띄운다. 해당 랜섬노트는 특정 국가에 대해 비난하는 글이 기재되어 있고 바탕화면이 변경 된 것을 확인 할 수 있다. 

[그림 1] 변경 된 바탕화면 이미지[그림 1] 변경 된 바탕화면 이미지



3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 바탕화면 변경과 작업 표시줄 삭제, 마우스 커서 문자열 추가 그리고 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 파일 생성[그림 2] 시작 프로그램 경로에 파일 생성



3-2. 원본 데이터 사용 불가

해당 ‘Israbye’ 랜섬웨어는 데이터 파일을 찾아 특정 문자열로 덮어 씌운다. 그리고 ‘.israbye’ 확장자를 원본 확장자에 덧붙인다. 원본 데이터 파일에 덮어씌워지는 문자열의 내용으로 보아 제작자의 의도가 어떠한 것인지 추측해 볼 수 있다.

 [그림 3] 특정 문자열로 교체[그림 3] 특정 문자열로 교체




덮어씌워 진 문자열 내에는 다음과 같이 사용자 계정이 포함 되었다는 것을 확인 할 수 있다.


[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함




3-3. 랜섬 노트 및 기타 동작

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 원본 데이터를 사용하지 못하게 만든 후 팝업 창을 띄워 사용자에게 보여준다. 다른 랜섬웨어들이 대게 비트코인 지불방법에 대해서 안내를 하지만 해당 랜섬웨어는 제작자가 전달하고 싶은 메시지만 작성되어 있다.

[그림5] 랜섬 노트[그림5] 랜섬 노트



그리고 원본 데이터를 사용하지 못하게 하는 것 이외에도 작업표시줄을 사라지게 만들고 마우스 커서에 특정 문구가 따라다니도록 만들어 PC를 사용함에 있어 불편하게 만든다.


[그림6] 변경 된 윈도우 바탕화면[그림6] 변경 된 윈도우 바탕화면



또한, 해당 랜섬웨어는 사용자의 PC에서 자신이 강제 종료 당하지 않기 위해 ‘ProcessHacker’ 나 ‘procexp’ 등을 종료한다.


  [그림7] 종료 프로세스 목록[그림7] 종료 프로세스 목록




4. 결론


이번 보고서에서 알아 본 ‘Israbye’ 랜섬웨어는 일반적인 랜섬웨어들과는 다르게 특정 국가를 겨냥하여 만든 것으로 추정되고 있다. 일반적인 랜섬웨어와 목적이 다른 만큼 비용을 지불하는 방법으로 파일을 복호화 할 수 없다. 또한, 감염 시 원본 데이터를 사용할 수 없게 만들고 정상적인 PC이용을 어렵게 만들기 때문에 주의 할 필요가 있다. 


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.












저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Reyptson Ransomware 감염 주의


1. 개요 


PC를 이용하는 사용자들의 중요 데이터를 인질로 삼아 이를 복호화하기 위한 대가로 금전을 요구하는 랜섬웨어의 유포 방식이 나날이 발전하고 있다.


랜섬웨어 제작자는 보다 많은 감염을 발생시키기 위해 여러가지 방법을 이용하는데 최근까지 발견된 랜섬웨어들의 유포 방식을 보면 사회공학기법을 이용하거나, 윈도우 취약점을 악용하여 많은 피해가 발생하였다.


이번에 발견된 ‘Reyptson’ 랜섬웨어 같은 경우 악성코드내에 사용자 이메일 계정에 등록되어 있는 주소목록 대상으로 스팸메일을 전송하는 것으로 확인되어 주의가 필요하다.


이번 보고서에서는 ‘Reyptson’ 랜섬웨어는 어떠한 동작을 수행하는지 알아보고자 한다.









2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Reyptson.exe

파일크기

342,528 byte

악성동작

파일 암호화, 금전 요구


 


 


2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어에 감염 시, 사용자 PC에 설치되어 있는 Thunderbird 이메일 계정 주소 목록을 대상으로 스팸메일을 유포하여 2차 피해를 줄 수 있을 것으로 확인 된다.


2-3. 실행 과정

‘Reyptson’ 랜섬웨어가 실행되면 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여 해당 이메일 프로그램이 설치되어 있다면 감염된 PC의 이메일 자격 증명 및 연락처 목록을 검색하여 스팸 메일을 유포한다. 


그 후 다른 랜섬웨어와 동일하게 대상 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 대상 폴더마다 랜섬노트가 생성된다.


[그림 1] Thunderbird 이메일 프로그램[그림 1] Thunderbird 이메일 프로그램


 



3. 악성 동작


3-1. 이메일 프로그램 접근

‘Reyptson’ 랜섬웨어는 사용자 PC에 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여, 해당 프로그램이 설치되어 있다면 이메일 주소 목록에 접근한다. 


[그림 2] 이메일 접근 부분[그림 2] 이메일 접근 부분






3-2. 스팸 메일 전송

이메일 주소 목록에 접근 하였다면 아래 그림과 같이 스팸 메일을 생성하여 또 다른 피해자가 발생하도록 유도하고 있다.


[그림 3] 스팸 메일 생성[그림 3] 스팸 메일 생성




3-3. 파일 암호화

그리고 ‘Reyptson’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-128 알고리즘을 사용하여 암호화 한 뒤, “.Reyptson” 라는 확장자를 덧붙인다.


  [그림 4] AES-128 암호화[그림 4] AES-128 암호화


[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

".doc",".dot",".wbk",".docx",".docm",".dotx",".dotm",".docb",".xls",".xlt",".xlm",".xlsx",

".xlsm", ".xltx",".xltm",".xlsb",".xla",".xlam",".xll",".xlw",".ppt",".pot",".pps",".pptx",

".pptm",".potx",".potm",".ppam",".ppsx",".ppsm",".sldx",".sldm",".accdb",".db",".accde",

".accdt",".accdr",".pdf",".ani",".anim",".apng",".art",".bmp",".bpg",".bsave",".cal",".cin",

".cpc",".cpt",".dds",".dpx",".ecw",".exr",".fits",".flic",".flif",".fpx",".gif",".hdri",".hevc",

".icer",".icns",".ico",".cur",".ics",".ilbm",".jbig",".jbig2",".jng",".jpeg",".jpeg"".2000",

".jpeg-ls",".jpeg",".xr",".kra",".mng",".miff",".nrrd",".ora",".pam",".pbm",".pgm",".ppm",

".pnm",".pcx",".pgf",".pictor",".png",".psd",".psb",".psp",".qtvr",".ras",".rbe",".jpeg-hdr",

".logluv",".tiff",".sgi",".tga",".tiff",".tiff",".ufo",".ufp",".wbmp",".webp",".xbm",".xcf",

".xpm",".xwd",".cpp",".h",".cs",".sln",".idb",".txt",".dat"

[1] 암호화 대상 파일 확장자


해당 랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다.


[그림 6] 예외 대상 경로[그림 6] 예외 대상 경로



3-4. 금전 요구

암호화가 진행되면서 대상 폴더에는 “Como_Recuperar_Tus_Ficheros.txt” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.


[그림7] 영문 랜섬노트[그림7] 영문 랜섬노트







4. 결론

이번 보고서에서 알아 본 ‘Reyptson’ 랜섬웨어는 아직 국내에서 피해 사례가 발생하지 않았지만, 올해 랜섬웨어라는 악성코드로 인하여 피해 사례가 전세계적으로 급증하고 있는만큼 새로운 형태의 랜섬웨어 대한 경계심을 가지고 항상 주의 할 필요가 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Trick-Crypt ransomware’ 감염 주의



1. 개요 


현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다.


IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다.


암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다.


이번 보고서에서 다루는 ‘Trick-Crypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 모든 확장자를 암호화하는 랜섬웨어이다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.JS

파일크기

7,415 byte

진단명

Script/W32.Trick-Crypt-Downloader

악성동작

다운로더

 

구분

내용

파일명

임의의 파일명.exe [Random9자리]

파일크기

241,664 byte

진단명

Ransom/W32.Trick-Crypt.241664

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 JS파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

첨부된 JS파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.


[그림 1] 첨부된 JS파일[그림 1] 첨부된 JS파일

 



3. 악성 동작


3-1. 랜섬웨어 다운로드

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE 형태의 랜섬웨어 파일을 다운로드 한다. 다운로드가 완료된 파일의 이름은 random한 이름으로 생성된다.


[그림 2] 랜섬웨어 다운로드[그림 2] 랜섬웨어 다운로드





3-2. 파일 암호화

해당 랜섬웨어는 JS파일을 통하여 다운로드 된 실행파일을 다시 랜덤한 9자리의 파일명으로 바꾸어 암호화 동작을 수행한다. 암호화 동작이 완료되면 바탕화면과 암호화 대상 폴더 마다 .html형식의 랜섬노트가 생성된 것을 확인할 수 있다.


[그림3] 암호화 된 파일과 랜섬노트[그림3] 암호화 된 파일과 랜섬노트



사용자 PC를 탐색하며 모든 확장자 파일을 대상으로 암호화 한 뒤. ‘ .crypt ’ 라는 확장자를 덧붙인다. 

 

구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자

[1] 암호화 대상 파일 확장자




3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 


[그림4] 쉐도우 파일 삭제[그림4] 쉐도우 파일 삭제




3-4. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Trick-Crypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 지속적으로 유사한 변종이 나타나고 있다. 랜섬웨어는 실행파일 형식으로만 유포를 하는게 아니기 때문에 사용자가 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Scarab ransomware’ 감염 주의



1. 개요 


사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다.


기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다.


이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Scarab_Ransom.exe

파일크기

350,208 byte

진단명

Ransom/W32.Scarab.350208

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 실행파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘Scarab ransomware’ 는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 .[resque@plague.desi].scarab 문자와 확장자를 덧붙인다. 또한, 암호화 된 폴더에 ‘IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ 랜섬노트를 생성하며, 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.




3. 악성 동작


3-1. 파일 암호화

‘Scarab ransomware’ 랜섬웨어는 원본 프로세스에서 파일 암호화 동작을 수행하지 않고 실제 원본파일이름과 동일한 자식프로세스를 생성하여 파일 암호화 동작을 수행한다.


[그림 1] 자식 프로세스 생성[그림 1] 자식 프로세스 생성



사용자 PC 를 탐색하며 아래 [표 1] 에 해당하는 파일의 경우 암호화 한 뒤. ‘ [resque@plague.desi].scarab’ 이라는 확장자를 덧붙인다.   

구분

내용

암호화 대상 파일

확장자

efs,000,001,1,101,103,108,110,123,128,1cd,1sp,1st,3,3d,3d4,3dd,3df,3df8,3dm,3dr,3ds,3dxml,3fr,3g2,3ga,
3gp,3gp2,3mm,3pr,3w,4w7,602,7z,7zip,8,89t,89y,8ba,8bc,8be,8bf,8bi8,8bl,8bs,8bx,8by,8li,8svx,8xt,9xt,9xy,
a$v,a2c,aa,aa3,aac,aaf,aah,aaui,ab4,ab65,abc,abk,abt,abw,ac2,ac3,ac5,acc,accdb,accde,accdr,accdt,ace,acf,
ach,acp,acr,acrobatsecuritysettings,acrodata,acroplugin,acrypt,act,ad,ada,adb,adc,add,ade,adi,adoc,ados,
adox,adp,adpb,adr,ads,adt,aea,aec,aep,aepx,aes,aet,afdesign,afm,afp,agd1,agdl,age3rec,age3sav,age3scn,
age3xrec,age3xsav,age3xscn,age3yrec,age3ysav,age3yscn,ahf,ai,aif,aiff,aim,aip,ais,ait,ak,al,al8,ala,alb3,alb4,
alb5,alb6,ald,ali,allet,alt3,alt5,amf,aml,amr,amt,amu,amx,amxx,anl,ann,ans,ansr,anx,aoi,ap,apa,apd,ape,apf,

apj,apk,apnx,apo,app,approj,apr,apt,apw,apxl,arc,arch00,arff,ari,arj,aro,arr,ars,arw,as,as$,as3,asa,asc,ascm,

ascx,asd,ase,asf,ashx,ask,asl,asm,asmx,asn,asnd,asp,aspx,asr,asset,ast,asv,asvx,asx,ath,atl,atomsvc,atw,

automaticdestinations-ms,aux,av,avi,avn,avs,awd,awe,awg,awp,aws,awt,aww,awwp,ax,azf,azs,azw,azw1,

azw3,azw4,b,b27,b2a,back,backup,backupdb,bad,bak,bak~,bamboopaper,bank,bar,bau,bax,bay,bbcd,bbl,

bbprojectd,bbs,bbxt,bc5,bc6,bc7,bcd,bck,bcp,bdb,bdb2,bdp,bdr,bdt2,bdt3,bean,bfa,bgt,bgv,bi8,bib,bibtex,

bic,big,bik,bil,bin,bina,bizdocument,bjl,bk,bk!,bk1,bk2,bk3,bk4,bk5,bk6,bk7,bk8,bk9,bkf,bkg,bkp,bks,bkup,

bld,blend,blend2,blg,blk,blm,blob,blp,bmc,bmf,bmk,bml,bmm,bmml,bmp,bmpr,bna,boc,book,bop,bp1,bp2

,bp3,bpf,bpk,bpl,bpm,bpmc,bps,bpw,brd,breaking_bad,brh,brl,brs,brx,bsa,bsk,bso,bsp,bst,btd,btf,btoa,btx,

burn,burntheme,bvd,bwd,bwf,bwp,bxx,bzabw,c,c2e,c6,cadoc,cae,cag,calca,cam,camproj,cap,capt,car,caro,cas,

cat,catproduct,cawr,cbf,cbor,cbr,cbz,cc,ccc,ccd,ccf,cch,ccitt,cd,cd1,cd2,cdc,cdd,cddz,cdf,cdi,cdk,cdl,cdm,cdml,

cdmm,cdmz,cdpz,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cds,cdt,cdtx,cdx,cdxml,ce1,ce2,cef,cer,cert,cf5,cfd,cfg,cfp,cfr,cgf,

cgfiletypetest,cgi,cgm,cgp,chi,chk,chm,chml,chmprj,chp,chpscrap,cht,chtml,cib,cida,cif,cipo,civ4worldbuildersave,

civbeyondswordsave,cl2arc,cl2doc,clam,clarify,class,clb,clkd,clkt,clp,clr,cls,clx,cmf,cml,cmp,cms,cmt,cmu,cnf,cng,

cnt,cnv,cod,col,comicdoc,comiclife,compositionmodel,compositiontemplate,con,conf,config,contact,converterx,

cp,cpc,cpd,cpdt,cphd,cpi,cpio,cpp,cpy,cr2,crashed,craw,crb,crd,creole,cri,crjoker,crs,crs3,crt,crtr,crw,crwl,crypt,

crypted,cryptowall,cryptra,cs,cs8,csa,cse,csh,csi,csl,cso,csp,csr,css,cst,csv,ctbl,ctd,cte,ctf,ctl,ctt,ctxt,cty,cue,current,

cvj,cvl,cvw,cw3,cwf,cwk,cwn,cwr,cws,cwwp,cyi,cys,d,d3dbsp,dac,dadx,dag,dal,dap,das,dash,dat,database,datx,

dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbc,dbf,dbfv,db-journal,dbk,dbr,dbs,dbx,dc2,dc4,dca,dcd,

dcf,dch,dco,dcp,dcr,dcs,dct5,dcu,ddc,ddcx,ddd,ddif,ddoc,ddrw,dds,deb,debian,dec,ded,default,del,dem,der,

des,desc,description,design,desklink,det,deu,dev,dex,dfe,dfl,dfm,dft,dfti,dgc,dgm,dgpd,dgr,dgrh,dgs,dhe,dic,did,

dif,dii,dim,dime,dip,dir,directory,disc,disco,disk,dit,divx,diz,djbz,djv,djvu,dk@p,dlc,dlg,dmbk,dmg,dmp,dmtemplate,

dmv,dna,dng,dnl,dob,doc,doc#,docb,doce,docenx,dochtml,docl,docm,docmhtml,docs,docset,docstates,doct,

documentrevisions-v100,docx,docxl,docxml,dok,dot,dothtml,dotm,dotmenx,dotx,dotxenx,dox,doxy,doz,dp,dpd,dpi

,dpk,dpl,dpr,drd,dream,drf,drm,drmx,drmz,drw,dsc,dsd,dsdic,dsf,dsg,dsk,dsl,dsn,dsp,dsy,dtd,dtm,dtml,dtp,dtx,dump,

dvb,dvd,dvi,dvs,dvx,dvz,dwd,dwdoc,dwf,dwfx,dwg,dwlibrary,dwp,dwt,dxb,dxd,dxe,dxf,dxg,dxn,dxr,dxstudio,dzp,e3s,

e4a,easmx,ebk,ebs,ec4,ecc,ecr,edb,edd,edf,edl,edml,edn,edoc,edrwx,edt,edz,efa,efax,eff,efl,efm,efr,eftx,efu,efx,egr,

egt,ehp,eif,eip,ekm,el6,eld,elf,elfo,eln,emc,emf,eml,emlxpart,emm,enc,enciphered,encrypted,enfpack,ent,enx,enyd,

eob,eot,ep,epdf,epf,epk,eprtx,eps,epsf,ept,epub,eql,erbsql,erd,ere,erf,err,es,es3,esc,esd,esf,esm,esp,ess,esv,et,ete,

etng,etnt,ets,etx,euc,evo,evy,ewl,ex,exc,exd,exf,exif,exprwdhtml,exprwdxml,exx,ez,ezc,ezm,ezs,ezz,f4v,f90,f96,fac,

fadein,fae,faq,fax,fbd,fbp6,fbs,fcd,fcf,fcstd,fd,fdb,fdf,fdoc,fdr,fds,fdseq,fdw,fdx,fed,feed-ms,feedsdb-ms,ff,ffa,ffd,

ffdata,fff,ffl,ffo,fft,ffx,fh,fhd,fig,fin,fl,fla,flac,flag,flat,flf,flib,flka,flkb,flm,flp,fls,flt,fltr,flv,flvv,fly,fm,fm3

,fmc,fmd,fmf,fml,fmp,fmp3,fnf,fo,fodg,fodp,fods,fodt,folio,for,forge,fos,fountain,fp,fpage,fpdoclib,fpenc,fphomeop,

fpk,fplinkbar,fpp,fpt,fpx,fra,frag,frdat,frdoc,freepp,frelf,frm,fs,fsc,fsd,fsf,fsh,fsp,fss,ft10,ft11,ft7,ft8,ft9,ftil,ftr,fwk,

fwtemplate,fxd,fxg,fxo,fxr,fzh,fzip,ga3,gam,gan,gcsx,gct,gdb,gdc,gdoc,ged,gev,gevl,gfe,gform,gfx,ggb,ghe,gho,gif,gil,

giw,glink,glk,glo,glos,gly,gml,gmp,gnd,gno,gofin,gp4,gpd,gpf,gpg,gpn,gpx,gpz,gra,grade,gray,grey,grf,grk,grle,groups,

gry,gs,gsa,gsf,gsheet,gslides,gsm,gthr,gui,gul,gvi,gxk,gxl,gz,gzig,gzip,h,h1q,h1s,h1w,h2o,h3m,h4r,haml,hbk,hbl,hbx,hcl,

hcw,hda,hdd,hdl,hdt,hdx,hed,help,helpindex,hex,hfd,hft,hhs,hkdb,hkx,hlf,hlp,hlx,hlx2,hlz,hm2,hmskin,hnd,hoi4,hot,

hp2,hpd,hpj,hplg,hpo,hpp,hps,hpt,hpw,hqx,hrx,hs,hsm,hsx,hta,htm,htm~,html,htmls,htmlz,htms,htpasswd,htz5,hvpl,

hw3,hwp,hwpml,hwt,hxe,hxi,hxq,hxr,hxs,hyp,hype,iab,iaf,ial,ibank,ibcd,ibd,ibk,ibz,icalevent,icaltodo,icc,icml,icmt,ico,

ics,icst,icxs,idap,idc,idd,idl,idml,idp,idx,ie5,ie6,ie7,ie8,ie9,iff,ifp,ign,igr,ihf,ihp,iif,iiq,iks,ila,ildoc,img,imp,imr,incp,incpas,

ind,indb,indd,indl,indp,indt,inf,info,ink,inld,inlk,inp,inprogress,inrs,inss,installhelper,insx,internetconnect,inx,ioca,iof,

ipa,ipf,ipr,ish1,ish2,ish3,iso,ispx,isu,isz,itdb,ite,itl,itm,itmz,itp,its,ivt,iw44,iwa,iwd,iwi,iwprj,iwtpl,ix,ixv,jac,jar,jav,java,

jb2,jbc,jbig,jbig2,jc,jdd,jfif,jge,jgz,jhd,jiaf,jias,jif,jiff,jnt,joe,jp1,jpc,jpe,jpeg,jpf,jpg,jpgx,jpm,jpw,jrf,jrl,jrprint,js,jsd,json,jsp,

jspa,jspx,jtd,jtdc,jtt,jtx,just,jw,jwl,jww,k25,kbd,kbf,kc2,kdb,kdbx,kdc,kde,kdf,kes,key,keynote,key-ef,kf,kfm,kfp,kid,klq,

klw,kmz,knt,kos,kpdx,kpr,ksd,ksp,kss,ksw,kuip,kwd,kwm,kwp,laccdb,lastlogin,lat,latex,lax,lay,lay6,layout,lbf,lbi,lbl,lcd,

lcf,lcn,ldb,ldf,lfe,lgp,lhd,lib,lit,litemod,ll3,llv,lmd,lngttarch2,lnk,localstorage,log,logonxp,lok,lot,lp,lp2,lp7,lpa,lpc,lpd,lpdf,

lpx,lrf,ls5,lst,ltcx,ltm,ltr,ltx,lua,lvd,lvivt,lvl,lvw,lwd,lwo,lwp,lyx,m,m13,m14,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,m7p

,maca,mag,maker,maml,man,manu,map,mapimail,marc,markdn,mars,mass,max,maxfr,maxm,mbbk,mbox,mbx,mc9,

mcd,mcdx,mcf,mcgame,mcmac,mcmeta,mcrp,mcw,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdbhtml,mdc,

mdccache,mddata,mdf,mdg,mdi,mdk,mdl,mdn,mds,mecontact,med,mef,meh,mell,mellel,menu,meo,met,

metadata_never_index,mf,mfa,mfp,mfw,mga,mgmt,mgourmet,mgourmet3,mhp,mht,mhtenx,mhtmlenx,mi,mic,mid,

mif,mim,mime,mindnode,mip,mission,mix,mjd,mjdoc,mke,mkv,mla,mlb,mlj,mlm,mls,mlsxml,mlx,mm,mm6,mm7,mm8,

mmap,mmc,mmd,mme,mmjs,mml,mmo,mmsw,mmw,mny,mo,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,

mp3,mp4,mp4v,mpa,mpe,mpeg,mpf,mpg,mph,mpj,mpq,mpqge,mpr,mpt,mpv,mpv2,mrd,mru,mrw,mrwref,ms,msd,

mse,msg,mshc,msi,msie,msl,mso,msor,msp,msq,ms-tnef,msw,mswd,mtdd,mtml,mto,mtp,mts,mtx,mug,mui,mvd,mvdx,

mvex,mwd,mwii,mwpd,mwpp,mws,mxd,mxg,mxp,myd,mydocs,myi,mz,n3,narrative,nav,navmap,nb,nbak,nbf,nbp,ncd,

ncf,nd,ndd,ndf,ndl,ndr,nds,ne1,ne3,nef,nfo,nfs11save,ng,njx,nk2,nmbtemplate,nmu,nokogiri,nop,note,now,npd,npdf,npp

,npt,nrbak,nrg,nri,nrl,nrmlib,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nst,ntf,ntl,ntp,nts,number,numbers,nvd,nvdl,nvram,nwb,

nwbak,nwcab,nwcp,nx^d,nx__,nx1,nx2,nxl,nyf,oa2,oa3,oab,oad,oas,obd,obj,obr,obt,obx,obz,ocdc,ocs,oda,odb,odc,

odccubefile,odf,odg,odh,odi,odif,odm,odo,odp,ods,odt,odt#,odttf,odz,officeui,ofn,oft,oga,ogc,ogg,oil,ojz,okm,ole,

ole2,olf,olv,oly,omlog,omp,onb,one,oos,oot,opd,opf,opj,oplx,opn,opt,opx,opxs,orf,ort,osd,osdx,ost,otc,otf,otg,oth,

oti,otn,otp,ots,ott,otw,out,ovd,owl,oxps,oxt,p10,p12,p2s,p3x,p65,p7b,p7c,p7z,pab,pack,pad,pages,pages-tef,pak,paq,pas,pat,paux,pbd,pbf,pbk,pbp,pbr,pbs,pbx5script,pbxscript,pcd,pcf,pcj,pct,pcv,pcw,pd,pdb,pdc,pdcr,

pdd,pdf,pdf_,pdf_profile,pdf_tsid,pdfa,pdfe,pdfenx,pdfl,pdfua,pdfvt,pdfx,pdfxml,pdfz,pdg,pdp,pdz,peb,pef,pem,

pez,pf,pfc,pfd,pfl,pfm,pfsx,pft,pfx,pg,pgs,php,phr,phs,pih,pixexp,pj2,pj4,pj5,pk,pkb,pkey,pkg,pkh,pkpass,pl,plan,

plb,plc,pld,pli,pln,plus_muhd,pm,pm3,pm4,pm5,pm6,pm7,pmd,pmt,pmv,pmx,png,pnu,po,pod,pool,pot,pothtml,

potm,potx,pp3,ppam,ppd,ppdf,ppf,ppj,ppp,pps,ppsenx,ppsm,ppsx,ppt,ppte,ppthtml,pptl,pptm,pptmhtml,pptt,

pptx,ppws,ppx,prc,prd,pref,prel,prf,prj,prn,pro,pro4,pro4dvd,pro5,pro5dvd,pro5plx,pro5x,proofingtool,props,

proqc,prproj,prr,prs,prt,prtc,prv,ps,ps2,ps3,psa,psafe3,psb,psd,pse8db,psf,psg,psi2,psip,psk,psm,psmd,

pspimage,pst,psw,psw6,pswx,psz,pt3,pt6,ptc,ptf,pth,ptk,ptn,ptn2,pts,ptx,pub,pubf,pubhtml,pubmhtml,pubx,puz,pvd,pve,

pvf,pw,pwd,pwe,pwf,pwi,pwm,pwp,pwre,pxd,pxl,pxp,py,pys,pzc,pzf,pzt,qba,qbb,qbl,qbm,qbr,qbw,qbx,qby,qch,qcow,

qcow2,qct,qdf,qed,qel,qfl,qfxx,qhp,qht,qhtm,qic,qif,qlgenerator,qpx,qrt,qt,qtq,qtr,qtw,quox,qvw,qwd,qwt,qxb,qxd,qxl

,qxp,qxt,r00,r01,r02,r03,r0f,r0z,r3d,ra,ra2,raf,ram,ramd,rap,rar,rat,raw,razy,rb,rbc,rcb,rd,rd1,rdb,rdf,rdfs,rdi,rdo,

rdoc,rdoc_options,rdz,re4,rec,rels,res,resbuild,rest,result,rev,rf,rf1,rft,rgn,rgo,rgss3a,rha,rhif,rim,rit,rlf,rll,rm,rm5,r

md,rmf,rmh,rna,rng,rnt,rnw,ro3,rofl,roi,ros,rov,row,rox,rpf,rpt,rptr,rrd,rrpa,rrt,rrx,rs,rsdf,rsdoc,rsm,rsp,rsrc,rst,

rsw,rt,rt_,rtdf,rte,rtf,rtf_,rtfd,rtk,rtpi,rts,rtsl,rtsx,rtx,rum,run,rv,rvf,rvt,rw2,rwl,rwlibrary,rwz,rxdoc,rzk,rzx,s3db,

s8bn,sa5,sa7,sa8,saas,sad,saf,safe,safetext,sam,sas7bdat,sav,save,say,sb,sbn,sbo,sbpf,sbsc,sbst,sc2save,scd,

scdoc,sce,sch,scm,scmt,scn,scr,scriv,scrivx,scs,scspack,scssc,sct,scw,scx,sd,sd0,sd1,sda,sdb,sdc,sdd,sddraft,

sdf,sdi,sdl,sdmdocument,sdn,sdo,sdoc,sdp,sdr,sds,sdt,sdv,sdw,search-ms,secure,sef,sel,sen,

seq,sequ,server,ses,set,setup,sev,sff,sfs,sfx,sgf,sgi,sgl,sgm,sgml,sgz,sh,sh6,shar,shb,show,

shr,shs,shtml,shw,shy,sic,sid,sidd,sidn,sie,sik,sis,sky,sla,sldm,sldx,slf,slk,slm,slt,slz,sm,smd,sme,smf,smh,smlx,smn,smp,

sms,smwt,smx,smz,snb,snf,sng,snk,snp,snt,snx,so,soi,spb,spd,spdf,spk,spl,spm,spml,sppt,spr,sprt,sprz,sql,sqlite,sqlite3,

sqlitedb,sqllite,sqx,sr2,src,srf,srfl,srs,srt,srw,ssa,ssh,ssi,ssiw,ssm,ssx,st4,st5,st6,st7,st8,stc,std,sti,stm,stp,stpz,struct,

stt,stw,stx,stxt,sty,sud,suf,sum,surf,svd,svdl,svg,svi,svm,svn,svp,svr,svs,swd,swdoc,sweb,swf,switch,swp,sxc,sxd,sxe,

sxg,sxi,sxl,sxm,sxml,sxw,syn,syncdb,t,t01,t03,t05,t10,t12,t13,t14,t2,t2k,t2t,t4g,t80,ta1,ta2,ta9,tabula-doc,

tabula-docstyle,tah,tar,tax,tax2009,tax2013,tax2014,tb,tbb,tbd,tbk,tbkx,tbz2,tcd,tch,tck,tcx,tdg,tdl,tdoc,tdr,te1,

template,tex,texi,texinfo,text,textclipping,textile,tfd,tfm,tfr,tfrd,tg,tga,tgz,thm,thml,thmx,thr,tib,tif,tiff,tjp,tk3,tlb,

tld,tlg,tlt,tlx,tlz,tm,tm3,tmb,tmd,tml,tmlanguage,tmv,tmz,tns,tnsp,toast,toc,topx,tor,torrent,totalslayout,tp,tpl,tpo,

tpsdb,tpu,tpx,trashinfo,trif,trp,ts,tsc,tt11,tt2,ttax,ttxt,tu,tur,tvd,twdi,twdx,tww,tx,txd,txe,txf,txm,txn,txt,txtrpt,u3d,

uax,ubz,ucd,udb,udf,udl,uea,uhtml,ukr,ulf,uli,ulys,ump,umx,unity3d,unr,unx,uof,uop,uos,uot,updf,upk,upoi,upp,

urd-journal,urf,url,urp,usa,usx,ut2,ut3,utc,utd,ute,utf8,uti,utm,uts,utx,uu,uud,uue,uvx,uxx,v,v2t,val,vault,vbadoc,

vbd,vbk,vbox,vbs,vc,vcal,vcd,vce,vcf,vdf,vdi,vdo,vdoc,vdt,ver,vf,vfs0,vhd,vhdx,view,viz,vlc,vlt,vmbx,vmdk,vmf,vmg,

vmm,vmsd,vmt,vmx,vmxf,vob,voprefs,vor,vp,vpk,vpl,vpp_pc,vs,vsd,vsdx,vsf,vsi,vspolicy,vst,vstx,vtf,vthought,vtv,vtx,

vw,vw3,w,w2p,w3g,w3x,w51,w52,w60,w61,w6bn,w6w,w8bn,w8tn,wab,wad,waff,wallet,war,wav,wave,waw,wb,wb2,

wb3,wbk,wbt,wbxml,wbz,wcf,wcl,wcn,wcp,wcst,wd0,wd1,wd2,wdbn,wdgt,wdl,wdn,wdoc,wdx9,web,webdoc,webpart,

wep,wflx,wht,wiz,wk!,wk1,wk3,wk4,wkb,wki,wkl,wks,wlb,wld,wll,wls,wlxml,wm,wma,wmd,wmdb,wmf,wmga,wmk,wml,

wmlc,wmmp,wmo,wms,wmv,wmx,wn,wolf,word,wordlist,wotreplay,wow,wp,wp42,wp5,wp50,wp6,wp7,wpa,wpc2,

wpd,wpd0,wpd1,wpd2,wpd3,wpe,wpf,wpk,wpl,wpost,wps,wpt,wpw,wr1,wrf,wri,wrlk,ws,ws1,ws2,ws3,ws4,ws5,ws6,

ws7,wsd,wsf,wsh,wsp,wtbn,wtd,wtf,wtmp,wtp,wts,wtt,wtx,wvw,wvx,wwcx,wwi,wwl,wws,wwt,wxmx,wxp,wyn,wzn,

wzs,x11,x16,x3f,x3g,xamlx,xar,xav,xbd,xbrl,xci,xda,xdc,xdf,xdo,xdoc,xdw,xf,xfd,xfdf,xfi,xfl,xfn,xfo,xfp,xfx,xgml,xht,xhtm,

xhtml,xif,xig,xis,xjf,xl,xla,xlam,xlb,xlc,xle,xlf,xline,xlist,xlk,xll,xlm,xlnk,xlr,xls,xlsb,xlse,xlshtml,xlsl,xlsm,xlst,xlsx,xlsxl,xlt,

xlthtml,xltm,xltx,xlv,xlw,xlwx,xma,xmdf,xml,xmmap,xmn,xmp,xms,xmt_bin,xmta,xpd,xpi,xpm,xps,xpse,xpt,xpwe,xqm,

xqr,xqx,xrdml,xsc,xsd,xsig,xsl,xslt,xtbl,xtd,xtg,xtml,xtps,xtrl,xv0,xv2,xv3,xvg,xvid,xvl,xwd,xweb3htm,xweb3html,

xweb4stm,xweb4xml,xwf,xwp,xxe,xxx,xy,xy3,xy4v,xyd,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp

[표 1] 암호화 대상 파일 확장자




암호화 된 파일의 모습은 아래 [그림 2]와 같으며, 바탕화면과 대상 폴더 마다 랜섬노트가 생성된 것을 확인할 수 있다.


[그림2] 암호화 된 파일과 랜섬노트[그림2] 암호화 된 파일과 랜섬노트






3-2. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림3] 쉐도우 파일 삭제[그림3] 쉐도우 파일 삭제






3-3. 금전 요구

파일 암호화가 완료되면 ‘Scarab Ransomware’ 는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Scarab Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 랜섬웨어가 회사나 공공기관 만을 상대로 유포하는 것이 아니기 때문에 개인 사용자일 경우에도 안심하지 않고 항상 주의하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어



1. 개요 


현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다.


또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다.


2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다.







2. 분석 정보


2-1. 유포 경로

최초 유포는 우크라이나 세무관련 프로그램의 업데이트 프로그램 변조를 통해 유포된 것으로 추정되고 있다. 추가적으로 이메일을 통한 유포 가능성은 높지만 정확하게 확인 되지 않은 상태이다.

또한, 네트워크 전파는 SMB취약점뿐 아니라 PSEXEC와 WMIC 를 통해서도 이루어질 수 있으나, 로컬 네트워크로만 전파되는 특징을 가진다.




2-2. 실행 과정

랜섬웨어가 구동된 경우 MBR 감염을 수행하고 ‘C:\Windows’ 폴더를 제외한 모든 폴더를 대상으로 특정 확장자의 파일을 암호화 한다. 암호화 된 후 확장명을 변경하지는 않는다. 특정 시간 이후에 재부팅이 되도록 시스템이 설정된다. 재부팅 이후 가짜 CHKSDK 화면을 출력하며 화면이 출력하는 동안 MFT 암호화를 진행할 것으로 추정된다.


[그림 1] 가짜 CHKSDK 화면[그림 1] 가짜 CHKSDK 화면






3. 악성 동작


3-1. MBR 파괴

[그림2] MBR 파괴 전과 후 비교[그림2] MBR 파괴 전과 후 비교




3-2. 파일 암호화

해당 랜섬웨어는 C:\windows 를 제외한 모든 폴더에 다음 표에 확장자를 가진 파일에 대해 암호화를 시도한다

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상
파일

확장자

.3ds  .7z  .accdb  .ai  .asp  .aspx  .avhd  .back  .bak  .c  .cfg  .conf  .cpp.cs  .ctl  .dbf  .disk  .djvu  .doc  .docx  .dwg  .eml  .fdb  .gz  .h  .hdd .kdbx  .mail  .mdb  .msg  .nrg  .ora  .ost  .ova  .ovf  .pdf  .php  .pmf  .ppt  .pptx  .pst  .pvi  .py  .pyc  .rar  .rtf  .sln  .sql  .tar  .vbox  .vbs  .vcb  .vdi  .vfd  .vmc  .vmdk  .vmsd  .vmx  .vsdx  .vsv  .work  .xls  .xlsx  .xvd  .zip

[ 1] 암호화 대상 확장자



파일 암호화는 AES를 사용하며, AES키는 RSA로 암호화 되어 저장된다.



3-3. 금전 요구

암호해제 비용으로는 $300을 비트코인으로 요구하고 있으며, 비트코인 지불 후 개인고유키와 지불한 비트코인 월렛 아이디를 이메일로 보낼 것을 요구한다.


하지만, 이메일 제공사인 posteo사에서 계정을 정지시켜 놓은 상태이므로 복호화 키를 받는 것은 불가능하다. 따라서 랜섬웨어에 감염되었다고 비트코인을 지불해서는 안된다.   


만약 해당 랜섬웨어에 감염되었다면, 랜섬웨어에 의해 재부팅 되기 전 컴퓨터를 종료하고 전문가에게 도움을 요청해야 피해를 최소화 할 수 있다.


[그림 3] 랜섬노트[그림 3] 랜섬노트






4. 결론

이번 Petya 랜섬웨어 변종은 WanaCryptpr 랜섬웨어와 같이 Eternal Blue 취약점을 공격하는 방식이 추가되었다. Petya 랜섬웨어는 지속적으로 변종이 발견되고 있으며 시간이 흐를수록 더 위험성이 높아지고 있다. 


이번 Petya 랜섬웨어에서 새로 추가된 전파 기법은 이전 WanaCryptor 에서 이미 이슈화 되었지만, 해당 취약점에 대한 업데이트가 아직 미흡하여 많은 피해를 입힌 것으로 보인다. 앞으로도 동일한 취약점 뿐 만 아니라 다른 취약점을 이용한 악성코드들이 발견 될 가능성이 많기 때문에 항상 최신 업데이트를 유지해야 할 것이다.



Petya 랜섬웨어 예방방법

  • MS17-010 을 포함한 Windows를 최신 업데이트를 적용한다.
  • SMBv1 비활성화 또는 445 port를 차단한다. 
  • (https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)
  • 백신을 최신상태로 유지한다.
  • 중요정보의 경우 주기적으로 백업한다.

아울러, 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0의 MBR 보호 기능을 사용하면 MBR 변조를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다



1. 개요 


지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다.


‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다.


타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈도우 운영체제뿐만 아니라 리눅스 운영체제에 대해서도 보안에 각별한 주의를 기울여야 할 것이다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Erebus (ELF파일)

파일크기

487,166 Byte / 429,144 Byte

악성동작

파일 암호화, 금전 요구

 

[그림 1] ‘Erebus’ 파일 정보[그림 1] ‘Erebus’ 파일 정보




2-2. 유포 경로

지난 2월 국내에서 처음으로 발견되었으며 복구 비용으로 약 10만원정도의 금액을 요구하여 저렴한 랜섬웨어로 알려져 왔다. 최근 리눅스 서버를 대상으로 공격을 시도 한 변종 ‘Erebus’ 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.




2-3. 실행 과정

최근에 발견된 ‘Erebus’ 변종 랜섬웨어에 감염이 되면 해당 PC의 주요 경로들을 탐색하여 대상이 되는 파일에 대하여 암호화 동작을 수행한다. 그리고 원본파일명을 변경한 후 ‘.ecrypt’로 확장자를 덧붙인다. 암호화 된 파일 경로에는 아래와 같이 .html 및 txt형식의 랜섬노트가 생성된다는 것을 확인 할 수 있다.


[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화를 수행하고 암호화가 완료되면 원본파일명을 변경한다. 또한 암호화된 파일에 대해서 ‘.ecrypt’ 로 변경한다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일

확장자

"tar","gz","tgz","taz","bz","tbz","bz2","lz","lzma","lz4","contact","dbx","doc","docx","jnt"

,"jpg","mapimail","msg","oab","ods","pdf","pps","ppsm","ppt","pptm","prf","pst","rar",

"rtf","txt","wab","xls","xlsx","xml","zip","1cd","3ds","3g2","3gp","7z","7zip","accdb","aoi",

"asf","asp","aspx","asx","avi","bak","cer","cfg","class","config","css","csv","db","dds","dwg",

"dxf","flf","flv","html","idx","js","key","kwm","laccdb","ldf","lit","m3u","mbx","md","mdf",

"mid","mlb","mov","mp3","mp4","mpg","obj","odt","pages","php","psd","pwm","rm",

"safe","sav","save","sql","srt","swf","thm","vob","wav","wma","wmv","xlsb","3dm","aac",

"ai","arw","c","cdr","cls","cpi","cpp","cs","db3","docm","dot","dotm","dotx","drw","dxb",

"eps","fla","flac","fxg","java","m","m4v","max","mdb","pcd","pct","pl","potm","potx","ppam",

"ppsm","ppsx","pptm","ps","pspimage","r3d","rw2","sldm","sldx","svg","tga","wps","xla",

"xlam","xlm","xlr","xlsm","xlt","xltm","xltx","xlw","act","adp","al","bkp","blend","cdf","cdx",

"cgm","cr2","crt","dac","dbf","dcr","ddd","design","dtd","fdb","fff","fpx","h","iif","indd"

,"jpeg","mos","nd","nsd","nsf","nsg","nsh","odc","odp","oil","pas","pat","pef","pfx","ptx",

"qbb","qbm","sas7bdat","say","st4","st6","stc","sxc","sxw","tlg","wad","xlk","aiff","bin",

"bmp","cmt","dat","dit","edb","flvv","gif","groups","hdd","hpp","log","m2ts","m4p","mkv",

"mpeg","ndf","nvram","ogg","ost","pab","pdb","pif","png","qed","qcow","qcow2","rvt","st7",

"stm","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","3fr","3pr","ab4","accde","accdr",

"accdt","ach","acr","adb","ads","agdl","ait","apj","asm","awg","back","backup","backupdb",

"bank","bay","bdb","bgt","bik","bpw","cdr3","cdr4","cdr5","cdr6","cdrw","ce1","ce2","cib",

"craw","crw","csh","csl","db_journal","dc2","dcs","ddoc","ddrw","der","des","dgc","djvu","dng",

"drf","dxg","eml","erbsql","erf","exf","ffd","fh","fhd","gray","grey","gry","hbk","ibank","ibd","ibz",

"iiq","incpas","jpe","kc2","kdbx","kdc","kpdx","lua","mdc","mef","mfw","mmw","mny","moneywell",

"mrw","myd","ndd","nef","nk2","nop","nrw","ns2","ns3","ns4","nwb","nx2","nxl","nyf","odb","odf",

"odg","odm","orf","otg","oth","otp","ots","ott","p12","p7b","p7c","pdd","pem","plus_muhd",

"plc","pot","pptx","psafe3","py","qba","qbr","qbw","qbx","qby","raf","rat","raw","rdb","rwl",

"rwz","s3db","sd0","sda","sdf","sqlite","sqlite3","sqlitedb","sr2","srf","srw","st5","st8","std","sti",

"stw","stx","sxd","sxg","sxi","sxm","tex","wallet","wb2","wpd","x11","x3f","xis","ycbcra","yuv",

"mab","json","ini","sdb","sqlite-shm","sqlite-wal","msf","jar","cdb","srb","abd","qtb","cfn",

"info","info_","flb","def","atb","tbn","tbb","tlx","pml","pmo","pnx","pnc","pmi","pmm","lck",

"pm!","pmr","usr","pnd","pmj","pm","lock","srs","pbf","omg","wmf","sh","war","ascx","tif"

[ 1] 암호화 대상 확장자





3-2. 금전 요구

파일 암호화가 완료되면 ‘Erebus’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구하는 랜섬노트를 생성한다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다.


[그림 4] 텍스트 형식의 랜섬노트[그림 4] 텍스트 형식의 랜섬노트




해당 페이지에서는 ‘Erebus’ 랜섬웨어 결제 안내페이지를 이용하기 위해 암호화 된 파일에 대한 정보를 기입하도록 유도하고 있다.


[그림 5] Tor 브라우저 접속[그림 5] Tor 브라우저 접속





4. 결론

이번에 확인한 ‘Erebus’ 랜섬웨어를 통해 랜섬웨어가 윈도우 운영체제 외에도 리눅스 운영체제를 대상으로 공격을 시도할 수 있다는 것을 알 수 있다.


또한, 리눅스 운영체제에서 동작할 수 있는 다른 유형의 랜섬웨어 공격이 발생할 여지가 있기 때문에, 리눅스 서버 담당자 및 일반 리눅스 사용자들은 각별히 주의하여 피해가 발생하지 않도록 주의 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석



1. 개요 


지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다.


기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다.


Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기 때문에 Windows 사용자들은 신속하게 긴급 패치를 조치하여야 한다. 또한, 2014년 4월 이후로 보안 업데이트 등 모든 지원이 종료된 Windows XP 및 Windows Server 2003등에 긴급보안패치도 발표하였기 때문에 사용자는 반드시 업데이트할 것을 권고한다.


이번 분석보고서에서는 일명 워너크라이로 불리는 ‘WannaCryptor’ 랜섬웨어에 대해 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mssecsvc.exe(임의의 파일명)

파일크기

3,723,264 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

SMB 취약점 공격, 숙주 파일

 


구분

내용

파일명

tasksche.exe

파일크기

3,514,368 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

Windows SMB(Server Message Block) 취약점을 악용하여 유포 되는 것으로 확인 된다. SMB 프로토콜은 네트워크에서 파일 및 프린터 등을 액세스 하는데 사용되는 프로토콜을 의미한다.



2-3. 실행 과정

‘WannaCryptor’ 랜섬웨어는 Windows SMB 원격 코드 실행 취약점을 악용하여 감염이 되기 때문에 2017년 3월 14일에 발표된 MS사의 SMB 취약점 패치를 업데이트 하지 않은 사용자 PC에 네트워크를 통하여 감염된다.

감염된 사용자 PC에서는 숙주파일이 먼저 실행이 되고, 숙주파일에서는 동일한 네트워크를 사용하고 있지만 SMB 취약점 패치를 하지 않은 다른 PC를 검색하여 또다시 유포 한다. 숙주 파일이 실행되면 “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” URL 에 접속을 시도하며, 해당 URL 에 접속하지 못할 경우, 악성동작을 수행한다. (해당 URL 은 변종마다 다를 수 있다)


해당 악성코드에 감염이 된 PC에서는 숙주파일로부터 드롭된 ‘tasksche.exe’ 파일이 실행되어 악성동작과 관련한 여러 파일을 생성하여 암호화 동작을 수행한다. 


[그림 1]  ‘WannaCryptor’ 랜섬웨어 실행 흐름[그림 1] ‘WannaCryptor’ 랜섬웨어 실행 흐름






암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경되는 것을 확인할 수 있다.


[그림 2]  ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면





3. 숙주 파일 동작


3-1. 서비스 생성

해당 악성파일은 URL을 체크 한 후에 “mssecsvc2.0” 라는 서비스를 생성한다.


[그림 3]  mssecsvc2.0 서비스 생성[그림 3] mssecsvc2.0 서비스 생성






3-2. 파일 드롭 및 실행

해당 악성코드는 다음과 같이 ‘tasksche.exe’ 라는 파일을 생성하여 ‘-i’ 인자를 주어 실행한다. 이 실행 파일은 실제 랜섬웨어 동작을 수행하는 파일이다.


[그림 4]  tasksche.exe 파일 생성[그림 4] tasksche.exe 파일 생성





3-3. 전파 방식

‘WannaCryptor’ 랜섬웨어의 숙주파일은 다른 PC들을 감염시키기 위해 랜덤으로 IP값을 생성하고 445번 port를 이용하여 감염을 시도한다. 


[그림 5] 악성코드 유포[그림 5] 악성코드 유포





4. 드롭파일 동작(tasksche.exe)


4-1. 파일 생성

‘WannaCryptor’ 랜섬웨어에 감염이 되면 숙주파일은 임의의 경로에 ‘tasksche.exe’ 파일을 드롭하고 실행한다. 그리고 드롭된 파일이 실행 되면 같은 경로에 아래 [그림 6] 과 같이 랜섬웨어와 관련된 다수의 파일을 압축해제 한다.


[그림 6] 악성파일 다수 생성[그림 6] 악성파일 다수 생성




압축해제 된 파일들의 역할은 다음과 같다. 

구분

내용

b.wnry

암호화 동작 수행 후 변경할 바탕화면 이미지 파일

c.wnry

Tor 관련 파일

f.wnry

암호화 된 파일 목록

r.wnry

랜섬노트 텍스트 파일

s.wnry

Tor 관련 압축파일

t.wnry

암화화 관련 DLL 파일 (실제 메모리에 Load되어 암호화 동작 수행)

u.wnry

랜섬노트 실행 파일 (@WanaDecryptor@.exe)

taskdl.exe

.WNCRYPT 확장자 파일목록 조회 및 삭제

taskse.exe

원격세션 관련 파일

[1] 압축 해제 된 악성코드 파일목록



압축 해제 된 파일 중 msg 하위 경로에 다음과 같이 여러 언어를 지원한다는 것을 확인 할 수 있다.


[그림 7] msg폴더 내부에 있는 국가별 언어 파일[그림 7] msg폴더 내부에 있는 국가별 언어 파일



또한 TaskData 하위 경로에는 토르(Tor)와 관련 된 파일이 생성된다. 이는 추적을 어렵게 하기 사용되는 것으로 확인된다.


[그림 8] Tor 관련 파일 생성[그림 8] Tor 관련 파일 생성





4-2. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.WNCRY’ 라는 확장자를 덧붙인다. 

구분

내용

암호화 대상 파일

확장자

".doc", ".docx", ".docb", ".docm", ".dot", ".dotm", ".dotx", ".xls", ".xlsx", ".xlsm", ".xlsb" ,".xlw", ".xlt", ".xlm", ".xlc", ".xltx", ".xltm", ".ppt", ".pptx", ".pptm", ".pot", ".pps", ".ppsm", ".ppsx", ".ppam", ".potx", ".potm", ".pst", ".ost", ".msg", ".eml", ".edb", ".vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", ".onetoc2", ".snt", ".hwp", ".602", ".sxi", ".sti", ".sldx", ".sldm", ".sldm", ".vdi", ".vmdk", ".vmx", ".gpg", ".aes", ".ARC", ".PAQ", ".bz2", ".tbk", ".bak", ".tar", ".tgz", ".gz", ".7z", ".rar", ".zip", ".backup", ".iso", ".vcd", ".jpeg", ".jpg", ".bmp", ".png", ".gif", ".raw", ".cgm", ".tif", ".tiff", ".nef", ".psd", ".ai", ".svg", ".djvu", ".m4u", ".m3u", ".mid", ".wma", ".flv", ".3g2", ".mkv", ".3gp", ".mp4", ".mov", ".avi", ".asf", ".mpeg", ".vob", ".mpg", ".wmv", ".fla", ".swf", ".wav", ".mp3", ".sh", ".class", ".jar", ".java", ".rb", ".asp", ".php", ".jsp", ".brd", ".sch", ".dch", ".dip", ".pl", ".vb", ".vbs", ".ps1", ".bat", ".cmd", ".js", ".asm", ".h", ".pas", ".cpp", ".c", ".cs", ".suo", ".sln", ".ldf", ".mdf", ".ibd", ".myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", ".sqlite3", ".asc", ".lay6", ".lay", ".mml", ".sxm", ".otg", ".odg", ".uop", ".std", ".sxd", ".otp", ".odp", ".wb2", ".slk", ".dif", ".stc", ".sxc", ".ots", ".ods", ".3dm", ".max", ".3ds", ".uot", ".stw", ".sxw", ".ott", ".odt", ".pem", ".p12", ".csr", ".crt", ".key", ".pfx", ".der"

[2] 암호화 대상 파일 확장자



암호화 된 파일은 아래와 같은 형태가 되며, “@Please_Read_Me@.txt”, “@WanaDecryptor@.exe “ 라는 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 9] 암호화 된 파일과 랜섬노트[그림 9] 암호화 된 파일과 랜섬노트





4-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화




4-4. 금전 요구

파일 암호화가 완료되면 ‘WannaCryptor’ 랜섬웨어는 암호화된 파일에 대하여 비트코인을 요구한다. 해당 랜섬웨어는 랜섬노트를 28개의 언어로 지불방법을 설명하고 있으며, 지불방법으로 $300를 비트코인으로 요구한다. 또한 주어진 시간이 지나면 복호화 비용을 두배 가격으로 올리거나 영구 삭제한다는 내용을 포함하고 있다.


[그림 11] 비트코인 요구 실행 파일[그림 11] 비트코인 요구 실행 파일



[그림 12] 텍스트 형식의 랜섬노트[그림 12] 텍스트 형식의 랜섬노트






5. 참고 공지 사항






6. 결론

이번에 전 세계적으로 발생한 ‘WannaCryptor’ 랜섬웨어 는 Windows 취약점을 악용하여 유포된다는 점에서 사용자PC의 Windows 업데이트가 얼마나 중요한지를 일깨워주는 사례로 기억 될 것으로 보인다. 여타 랜섬웨어들과는 다르게 웜의 성격을 보이는 유포 방식을 사용한다는 점에서 추가적으로 다른 악성코드와 결합된 새로운 형태의 악성코드가 발견되거나, SMB 취약점 업데이트를 미처 하지 못한 사용자들을 대상으로 한 다른 랜섬웨어의 공격이 발생할 여지가 있다. 그러므로 Microsoft에서 제공하는 Windows 보안 업데이트를 신속하게 진행 할 것을 요구한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 Windows 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며 워너크라이 랜섬웨어 취약점 점검툴인 nProtect WannaCry Checker를 통해 점검 및 임시 조치가 가능하다.


워너크라이 취약점 점검툴 nProtect WannaCry Checker 다운로드

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye




1. 개요 


2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.

최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

GoldenEye.xls (임의의 파일명)

파일크기

1,805,312 byte

진단명

Ransom/X97M.Goldeneye.1805312

악성동작

파일 드롭 및 실행

  

구분

내용

파일명

rad[임의의5자리].exe

파일크기

368,640 byte

진단명

Ransom/W32.Goldeneye.368640

악성동작

파일 암호화, MBR 변조

 



2-2. 유포 경로

GoldenEye 랜섬웨어는 이메일에 첨부되어 유포되고 있다. 첨부된 파일은 .xls 파일로 해당 파일을 열어 매크로를 실행시키면 랜섬웨어를 실행하여 암호화 동작을 수행한다.




2-3. 실행 과정

첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 PC의 MBR을 변조한다. 이 두 동작이 완료되면 PC를 강제로 재부팅 시켜 변조된 MBR의 코드가 실행된다. 모든 동작을 수행한 뒤 랜섬웨어는 아래와 같은 해골 문양의 화면을 출력한다.


[그림 1] 감염된 사용자 화면[그림 1] 감염된 사용자 화면




3. 악성 동작


3-1. 매크로 실행 유도 및 파일 드롭

첨부된 .xls 파일을 실행하면 다음과 같은 문구가 쓰여있는 것을 확인할 수 있다. 이는 파일의 내용을 확인하고 싶으면 매크로 기능을 활성화하라는 문구로, 사용자가 매크로 기능을 실행하게끔 유도하는 것을 확인할 수 있다. 매크로가 실행되면 암호화 동작을 수행하는 랜섬웨어가 사용자의 PC 에 드롭된 후 실행된다.


[그림 2] 매크로 실행[그림 2] 매크로 실행





3-2. 파일 암호화

드롭된 랜섬웨어는 사용자의 파일을 찾아 암호화한다. 암호화된 파일의 이름에는 “a.xlsx” 가 “a.xlsx.12345678” 과 같이 임의의 8자리 문자가 덧붙여진다. 또한 “YOUR_FILES_ARE_ENCRYPTED” 라는 이름의 랜섬노트가 생성 된 것을 확인 할 수 있다.

[그림 3] 암호화된 파일[그림 3] 암호화된 파일


랜섬노트에는 아래와 같이 사용자의 파일이 암호화 되었다는 문구와 복호화 안내 문구가 써있다.

[그림 4] 랜섬노트 파일[그림 4] 랜섬노트 파일


3-3. MBR 변조 및 MFT 암호화

파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 아래와 같이 “CHKDSK” 작업이 진행 중임을 나타낸다. 실제로 디스크를 점검하는 것처럼 보이지만 실상은 사용자 PC 의 MFT 를 암호화하고 있는 것이다.

[그림 5] MFT 암호화[그림 5] MFT 암호화


MFT 암호화가 완료되면 다시 PC가 부팅되며 노란 해골 화면이 출력된다. 그리고 다음 화면으로 진행하면 아래와 같이 GoldenEye 랜섬웨어에 의해 사용자의 PC 가 암호화 되었다는 사실을 알려준다.

[그림 6] 변조된 MBR[그림 6] 변조된 MBR


3-4. 금전 요구

랜섬노트에서 안내하는 페이지로 접속할 경우 GoldenEye 랜섬웨어 복호화 사이트에 접속할 수 있다. 해당 랜섬웨어는 약 1.3 비트코인을 요구하고 있다. 현재 FAQ는 활성화 되어 있지 않고 Support 페이지를 통해 랜섬웨어 배포자에게 질의를 할 수 있다. 질의를 통해 좀 더 상세한 안내를 하고 있으며 사용자의 결제를 유도한다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Petya 랜섬웨어 악성코드 군은 계속해서 새로운 모습으로 나타나 사용자 PC를 위협하고 있다. Petya와 비교했을 때, GoldenEye 랜섬웨어는 더 강한 악성 동작으로 사용자에게 큰 피해를 주고 있다. 


현재 국내에서는 활발히 유포되고 있지 않지만 해당 랜섬웨어가 이전부터 이메일 첨부 방식을 사용해왔으며, 주로 첨부 파일의 이름을 ‘이력서’와 관련 짓는다는 점에서 기업 채용 담당자의 각별한 주의가 필요하다. 랜섬웨어에 의한 피해를 예방하기 위해서는 안티바이러스 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불분명한 첨부 파일의 열람을 자제 해야 한다.


위 랜섬웨어 파일과 랜섬웨어를 드롭하는 엑셀 매크로 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect