피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Hades Locker로 돌아온 WildFire 랜섬웨어 




1. 개요 


이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

update.exe

파일크기

510,026 byte

진단명

Ransom/W32.Hades.510026

악성동작

파일 드롭

 

구분

내용

파일명

Ronms.exe

파일크기

72,351,744 byte

진단명

Ransom/W32.Hades.72351744

악성동작

파일 암호화

네트워크

176.***.***.183 – 공격자 서버

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.





2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.


[그림 2] 파일 드롭과 자동 실행 등록[그림 2] 파일 드롭과 자동 실행 등록





사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 







3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트[그림 3] 암호화된 파일과 랜섬노트






암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[1] 암호화 대상 파일 확장자




3-3. 금전 요구


암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지[그림 4] 결제 안내 메인 페이지




다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내[그림 5] 비트코인 구입 및 결제 방법 안내




FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지[그림 6] FAQ (자주 묻는 질문) 페이지





Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지[그림 7] Helpdesk 페이지






4. 결론


복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
Posted by nProtect

지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석





1. 개요 


일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

encasvc.exe

파일크기

456,192 byte

진단명

Ransom/W32.Agent.456192

악성동작

파일 암호화

네트워크

31.***.***.116

 




2-2. 실행 과정

랜섬웨어는 실행되면 공격자가 지정한 경로에 있는 모든 파일을 찾는다. 다른 랜섬웨어와는 다르게 특정 확장자를 검색하는 것이 아니라, 해당 경로의 모든 파일을 암호화 한다. 암호화 된 파일은 파일 이름에 “_nullbyte” 라는 문자가 뒤에 덧붙여진다. 암호화가 완료된 뒤 화면 잠금 기능으로 랜섬노트를 출력한다.





3. 악성 동작


3-1. 파일 암호화

랜섬웨어는 지정된 경로에 있는 모든 파일을 암호화한다. 지정된 경로는 사용자 계정 하위에 위치하고 있는 기본 폴더들로 다운로드, 바탕화면, 문서 등 아래의 표와 같다. 암호화된 파일은 기존 이름 뒤에 “_nullbyte” 라는 문자가 덧붙여진다.


 %USERPROFILE%\Documents

 %USERPROFILE%\Favorites

 %USERPROFILE%\Music

 %USERPROFILE%\Contacts

 %USERPROFILE%\Downloads

 %USERPROFILE%\Pictures

 %USERPROFILE%\Videos

 %USERPROFILE%\Desktop

[표 1] 암호화 대상 경로


[그림 1] 암호화된 파일[그림 1] 암호화된 파일





3-2. 사용자 조작 방해

암호화가 완료되면 랜섬웨어는 아래와 같은 랜섬노트를 출력한다. 랜섬노트는 화면 잠금 방식으로 출력되기 때문에 사용자 PC 화면에 계속 나타나 있다. 랜섬노트에는 사용자에게 0.1 비트코인을 요구하고 있으며 결제를 위한 QR 코드와 주소를 안내하고 있다.

[그림 2] 화면 잠금 방식의 랜섬노트[그림 2] 화면 잠금 방식의 랜섬노트



사용자는 화면 잠금 방식의 랜섬노트때문에 PC 사용의 제약을 받게 된다. 또한, 명령 프롬프트(CMD.exe)와 작업 관리자(TASKMGR.exe)를 사용하지 못하도록 실행하려는 해당 프로세스를 계속해서 종료한다. 이는 화면 잠금 기능을 사용자가 강제로 종료시키는 것을 방지하기 위한 것으로 보인다.

[그림 3] 사용자 조작 방해[그림 3] 사용자 조작 방해





4. 결론


랜섬웨어는 그 종류나 변형도에 따라 기존과는 다르게 행동하는 경우가 종종 있다. 해당 랜섬웨어는 문서 관련 파일 뿐만 아니라 지정된 경로의 모든 파일을 암호화 한다. 이는 중요 문서뿐만 아니라, 모든 파일에 대해 백업이 필요하다는 것을 알려 준다. 랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이나 의심스러운 파일의 실행은 자제 하여야 한다. 무엇보다 백신 제품을 설치하고 최신 업데이트를 유지하는 것이 중요 하다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면










저작자 표시 비영리 변경 금지
신고
Posted by nProtect

DLL 파일로 돌아온 Locky 랜섬웨어 주의



1. 개요


지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

locky.js (임의의 파일명)

파일크기

88,107 byte

진단명

Script/W32.Locky

악성동작

랜섬웨어 다운로더

네트워크

213.***.**.169 – 랜섬웨어 다운로드

 

구분

내용

파일명

xpJcmRk8Ng.dll (임의의 파일명)

파일크기

135,168 byte

진단명

Ransom/W32.Locky.135168.C

악성동작

파일 암호화

네트워크

138.***.***.196 – C&C

 



2-2. 실행 과정

악성 스크립트 파일은 랜섬웨어 DLL 파일을 다운로드 한다. 다운로드가 완료되면 윈도우 기본 프로그램인 rundll32.exe 를 통해 랜섬웨어 DLL 파일을 실행한다. 실행된 랜섬웨어는 사용자의 파일을 암호화하며, 암호화가 완료된 후 다음과 같은 그림으로 바탕화면을 변경하여 감염 사실을 알린다.

[그림 1] 감염된 사용자 PC 화면[그림 1] 감염된 사용자 PC 화면





3. 악성 동작


3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 DLL 형태의 랜섬웨어 파일을 다운로드 한다. 이전과는 다르게 랜섬웨어의 인코딩된 데이터를 다운로드 하며, 다운로드가 완료된 후 실행 가능하도록 디코딩한다.

[그림 2] 인코딩 된 랜섬웨어 다운로드[그림 2] 인코딩 된 랜섬웨어 다운로드



그리고 rundll32.exe 를 통해 랜섬웨어를 실행한다.

[그림 3] rundll32.exe 를 통한 랜섬웨어 실행[그림 3] rundll32.exe 를 통한 랜섬웨어 실행





3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화 

실행된 랜섬웨어는 볼륨 섀도 복사본을 삭제한다. 볼륨 섀도 복사본이란 특정한 시각의 파일이나 폴더 등을 포함한 스냅샷을 저장해둔 것으로, 사용자가 감염 이전 시점으로 복원하는 것을 방지하고자 이를 삭제하는 것으로 보인다.

[그림 4] 섀도 복사본 삭제[그림 4] 섀도 복사본 삭제



볼륨 섀도 복사본을 삭제한 뒤 사용자의 PC 에서 지정한 확장자 파일을 찾은 뒤 암호화 한다. 암호화된 파일의 확장자는 이전 버전에서와 같이 “.zepto” 로 변경되며, 각 폴더에는” _HELP_instrictions.html” 이라는 랜섬노트가 생성된다. 

[그림 5] 암호화된 파일과 랜섬노트[그림 5] 암호화된 파일과 랜섬노트



암호화 대상이 되는 파일의 확장자는 아래 표와 같으며, 국내에서 주로 사용하고 있는 한글문서 확장자인 “.hwp” 도 목록에 있는 것을 확인할 수 있다.

구분

내용

암호화 대상 파일 확장자

.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

[표 1] 암호화 대상 파일 확장자



랜섬노트는 아래와 같이 사용자의 파일이 암호화 되었음을 알려주며, 복호화 및 결제 페이지로 접속하는 방법을 안내한다.

[그림 6] 랜섬노트 내용[그림 6] 랜섬노트 내용



상기의 방법으로 결제 안내 페이지에 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 2.00비트코인을 요구하고 있다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Locky 랜섬웨어는 지속적으로 변종이 나타나고 있다. 랜섬웨어 피해를 최소화하기 위해선 명확하지 않은 파일을 다운로드하지말고, 파일 실행에 주의하여야 한다. 또한, 만일의 사태를 대비하여 중요 파일을 상시 백업을 해놓아야 피해를 최소화 할 수 있다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신버전으로 업데이트 하는 것이 중요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

말하는 랜섬웨어 Cerber 2 분석 보고서





1. 개요


말하는 랜섬웨어로 유명한 Cerber 랜섬웨어는 파일 암호화가 완료되면 .vbs 파일을 통해 사용자에게 암호화 사실을 알려준다. 2016년 4월에서 5월 중에 CryptoWall 과 Locky 랜섬웨어 다음으로 많이 유포되었던 Cerber 렌섬웨어(출처 Fortinet Blog)는 최근 새로운 버전으로 다시 유포되기 시작했는데, 기존과는 다르게 확장자가 ‘.cerber2’로 변경되어 있다.
이번 분석 보고서에서는 새로운 버전으로 나타난 Cerber2 랜섬웨어에 대하여 알아보고자 한다.

[그림] ’16.04.01 – ’16.05.15 랜섬웨어 유포 통계 (출처: FORTINET)[그림] ’16.04.01 – ’16.05.15 랜섬웨어 유포 통계 (출처: FORTINET)





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

cerber2.exe (임의의 파일명)

파일크기

248,965 byte

진단명

Ransom/W32.Cerber.248965

악성동작

파일 암호화





2-2. 실행 과정


Cerber 랜섬웨어가 실행되면 사용자 PC 파일 암호화 동작을 수행한다. 암호화된 파일은 ‘.cerber2’ 라는 확장자와 암호화된 이름의 파일명으로 변경된다. 그리고 각 폴더에 “# DECRYPT MY FILE #” 이라는 이름의 랜섬노트들을 생성한다. 그리고 파일 암호화가 완료되면 “# DECRYPT MY FILE #.vbs” 파일을 실행하여 파일 암호화를 알려주는 음성 메시지를 출력한다.

[그림 1] 암호화된 파일과 랜섬노트[그림 1] 암호화된 파일과 랜섬노트



감염된 사용자 PC 의 바탕화면은 아래의 그림과 같이 변경된다.

[그림 2] 감염된 PC 화면[그림 2] 감염된 PC 화면





3. 악성 동작


3-1. 자동 실행 등록


Cerber 랜섬웨어는 System32 폴더 하위에 존재하는 임의의 파일 이름으로 자신을 복사한다. 그리고 복사된 Cerber 는 파일 암호화를 완료하기 위해 자동 실행에 등록한다. 이를 통해 암호화 도중 PC 가 종료되어도 PC 부팅 시 다시 암호화를 시작하도록 한다. 아래와 같이 시작프로그램에 링크 파일을 생성한 것을 확인할 수 있다.

[그림 3] 시작프로그램에 생성된 링크 파일[그림 3] 시작프로그램에 생성된 링크 파일



Cerber 는 레지스트리 ‘Run’, ‘RunOnce’ 에 자신을 등록하므로 중간에 PC 가 종료되더라도, 재부팅 시 다시 실행되도록 한다. 그리고 ‘Control Panel\Desktop’ 에 SCRNSAVE.EXE 에 랜섬웨어의 경로를 등록해준다. 이는 사용자가 지정된 대기 시간 동안 아무 행동을 하지 않을 때 켜지는 화면보호기를 랜섬웨어로 지정해준 것이다. 이를 통해 화면 보호기 대신 랜섬웨어가 실행된다.

[그림 4] 자동 실행 등록[그림 4] 자동 실행 등록






3-2. 프로세스 종료


현재 실행 중인 특정 프로세스가 있다면 이를 종료한다. 대상 프로세스는 문서, 메신저 등의 프로그램이다. 하나의 파일을 서로 다른 프로그램에서 동시에 수정할 수는 없기에, PC 에 존재하는 모든 파일을 암호화하기 위해 강제로 프로세스를 종료하는 것으로 보인다.


구분

내용

종료 대상 프로세스

excel.exe

infopath.exe

msaccess.exe

mspub.exe

onenote.exe

outlook.exe

powerpnt.exe

steam.exe

sqlservr.exe

thebat.exe

thebat64.exe

thunderbird.exe

visio.exe

winword.exe

wordpad.exe

[표 1] 종료 대상 프로세스



3-3. 파일 암호화


실행된 랜섬웨어는 아래 확장자를 가진 파일에 대해 암호화를 진행하며, 암호화된 파일의 확장자를 .cerber2 로 변경한다.


구분

내용

암호화 대상 확장자

.accdb .mdb .mdf .dbf .db .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt .pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm .xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd .pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx .money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .vpd .sqlite-shm .sqlite-wal

[표 2] 암호화 대상 확장자 목록



파일의 내용이 암호화 되면 기존에 읽을 수 있던 텍스트 파일도 아래와 같이 읽을 수 없는 형태로 나타나는 것을 확인할 수 있다.


[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용



해커는 감염 PC 에 파일 복호화에 대한 비용 지불을 안내한다. 5 일 이내에 지불 할 경우 1.7029 비트코인이지만, 5 일이 지날 경우 2 배에 가까운 3.4058 비트코인을 요구한다.


[그림 6] 결제 금액 요구[그림 6] 결제 금액 요구





4. 결론


Cerber 렌섬웨어는 Raas(Ransomware as a Service) 로, 랜섬웨어를 제작하여 배포하는 집단이 존재하고 있다. 수익을 창출하려는 랜섬웨어 제작자 입장에서 더욱 정교한 랜섬웨어를 만들어 해커에게 판매 및 배포하고자 할 것이다. 정교해지고 있는 랜섬웨어에 따른 피해는 결국 사용자에게 전가된다. 분석한 Cerber 랜섬웨어도 많이 유포되고 있는 만큼 언제든 변형되어 국내에 유입될 수 있으므로 사전에 예방할 수 있도록 주의를 기울여야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

국내 메신저로 위장한 랜섬웨어 분석 보고서




1. 개요


교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다.


해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 해독 서비스 서버까지 구축한 것으로 보아 유포 목적으로 제작한 것으로 추정된다.


[그림] 암호 해독 서비스[그림] 암호 해독 서비스






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sample.exe

파일크기

1,293,824 byte

진단명

Ransom/W32.HiddenTear.1293824

악성동작

사용자 파일 암호화














2-2. 유포 경로

해당 악성코드는 암호화 키가 해커의 서버에 전송되지 않았으며, 해커의 피해자 식별 정보가 하드 코딩된 것으로 보아 랜섬웨어 기능이 제대로 구현되지 않은 개발 단계인 것으로 보인다.


[그림] 하드 코딩된 피해자 식별 정보[그림] 하드 코딩된 피해자 식별 정보



2-3. 실행 과정

경로가 바탕화면 영역에 있는 파일 중, 아래 확장자와 일치하는 모든 파일을 암호화하고 랜섬노트를 출력한다. 드라이브 전체가 아닌 바탕화면 영역의 파일만 암호화 한다. 이는 일반적으로 안티-바이러스 제품이 랜섬웨어 차단을 위해 생성하는 루트 디렉토리의 디코이(Decoy) 파일을 암호화하지 않으므로 랜섬웨어 차단 기능을 피해갈 수 있어 각별한 주의가 필요하다.

[그림] 암호화 대상 확장자[그림] 암호화 대상 확장자


[그림] 랜섬노트[그림] 랜섬노트



3. 악성 동작


3-1. 파일 암호화

이 랜섬웨어는 사용자 디렉토리의 바탕화면을 경로로, 하위 모든 디렉토리의 파일들 중 아래 확장자와 일치하는 파일만이 대상이 된다.

[그림] 암호화 대상[그림] 암호화 대상



아래 그림과 같이 히든-티어와 동일하게 AES 256 알고리즘으로 암호화가 진행되며, 암호화 완료 후에는 파일명 가장 뒤에 “.암호화됨”이라는 확장자를 붙인다.


[그림] 암호화 루틴[그림] 암호화 루틴





4. 결론


이 랜섬웨어는 암호화 부분의 코드 자체가 히든-티어 랜섬웨어와 다른 점이 없다. 히든-티어는 교육용 오픈소스 랜섬웨어인 만큼 복호화 코드도 함께 공개 되어있다. 만약 해당 랜섬웨어가 유포된다면, 현재 분석한 정보보다 랜섬웨어 기능이 확장 및 진화될 가능성이 크다. 따라서, 사용자는 랜섬웨어 감염을 피하기 위해, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않아야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

파일을 제거하는 랜섬웨어, Ranscam 분석



1. 개요 


랜섬웨어는 파일을 인질로 사용자에게 금전을 요구한다. 최근 국외에서는 파일을 암호화하는 대신 파일을 삭제하는 랜섬웨어가 잇달아 등장하고 있다. 6월 말 Anonpop 랜섬웨어가 나온 이후 최근엔 Ranscam 랜섬웨어가 전파되고있다.


두 랜섬웨어 모두 암호화된 파일을 복호화하는 대가로 금액을 요구한다. 하지만 금액을 지불한다고 하더라도 암호화된 파일을 확인하면 복호화되지 않고 제거되어 있다. 이렇게 이른바 가짜(Fake) 랜섬웨어라고도 불리는 ‘삭제형 랜섬웨어' 중 하나인 Ranscam에 대해 이번 보고서를 통해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

winstrsp.exe

파일크기

2,508,224 byte

진단명

Trojan.GenericKD.3380145

악성동작

드롭퍼, 파일 제거

 

구분

내용

파일명

winopen.exewinopen.exe

파일크기

217,600 byte

진단명

Trojan/W32.FakeLocker.217600

악성동작

화면 잠금, 공격자 서버와 통신

 




2-2. 실행 과정

winstrsp.exe 는 AppData 폴더 하위에 자신을 복제하며, 임시 폴더 하위에 임의의 이름을 가진 XML 파일을 생성한다. 생성된 XML 파일은 예약 작업에 등록되며, PC 실행 시에 동작하여 복제된 winstrsp.exe 를 실행한다. 이를 통해 실행된 악성코드는 배치 파일과 winopen.exewinopen.exe 를 생성하고 실행한다. 배치 파일은 사용자 파일 제거 동작과 Payment_Instructions.jpg 를 다운받으며, winopen.exewinopen.exe 는 사용자가 바탕화면이나 다른 작업을 이용할 수 없도록 화면을 잠그는 역할을 한다.


[그림] 악성코드 동작 과정[그림] 악성코드 동작 과정



감염된 사용자 화면에는 아래와 같이 컴퓨터와 파일이 암호화 됐다는 화면과 함께 금전을 요구하는 랜섬노트가 나타난다.


[그림] 감염된 사용자 화면[그림] 감염된 사용자 화면





3. 악성 동작


3-1. 예약 작업 등록 및 PC 종료

winstrsp.exe 는 임의의 XML 파일을 생성한다. XML 파일에는 AppData 경로 하위에 복제한 자기 자신을 실행하는 내용의 명령어를 담고 있다.


[그림] 생성된 XML 파일[그림] 생성된 XML 파일



XML 파일을 생성한 후 윈도우 예약 작업 관리 도구인 schtasks.exe 를 통해 XML 파일을 예약 작업에 등록한다. 등록된 예약 작업은 “Update” 폴더 하위에 아래와 같은 이름으로 등록되어 로그온할 때 작업이 실행되도록 한다.

schtasks.exe /Create /TN “Update\임의의 문자열” /XML “%Temp%\z***”

[표] schtasks.exe 를 통한 예약 작업 등록



[그림] 등록된 예약 작업[그림] 등록된 예약 작업




3-2. 파일 제거

예약 작업을 통해 winstrsp.exe 가 실행되면 새로운 배치 파일을 생성한다. 배치 파일은 파일 삭제나 파일 복구 관련 도구 제거, 작업 관리자 실행 방해 등의 동작을 수행한다. 아래 코드와 같은 방식으로 지정한 경로의 파일과 폴더를 삭제하는 것을 확인할 수 있다.


[그림] 파일과 폴더 제거[그림] 파일과 폴더 제거



Anonpop 은 주로 사용자 폴더 하위의 파일을 목표로 삭제를 시도했다면, Ranscam 은 이에 더해 “Mozilla Firefox”, “Internet Explorer” 와 같이 인터넷 브라우저와 관련된 경로의 파일도 제거한다. Ranscam 이 대상으로 하는 폴더의 위치는 아래의 표와 같다.


%USERPROFILE%\Documents\*

C:\Program Files\Internet Explorer\*

%USERPROFILE%\Downloads\*

C:\Program Files\Opera\*

%USERPROFILE%\Pictures\*

C:\Program Files (x86)\Internet Explorer\*

%USERPROFILE%\Music\*

C:\Program Files (x86)\Google\*

%USERPROFILE%\Videos\*

C:\Program Files (x86)\Mozilla Firefox\*

%USERPROFILE%\Contacts\*

C:\Program Files (x86)\Opera\*

%USERPROFILE%\Favorites\*

%AppData%\Local\Temp\*"

%USERPROFILE%\Searches\*

%USERPROFILE%\Desktop\*

C:\Program Files\Google\*

C:\Windows\System32\Restore\*

C:\Program Files\Windows Defender\*

C:\$RECYCLE.BIN

C:\Program Files\Mozilla Firefox\*

D:\ ~ I:\

[표] 지정된 경로



vssadmin.exe 와 rstrui.exe 파일 제거 시도를 확인할 수 있다. vssadmin.exe 는 볼륨 섀도 복사본을 관리하기 위한 도구이며, rstrui.exe 는 시스템 복원과 관련된 도구이다. 이 두 동작은 감염 이전으로 PC 를 되돌리는 것을 방지하기 위한 것으로 볼 수 있다.


[그림] VSS 와 시스템 복원 제거[그림] VSS 와 시스템 복원 제거




3.3 사용자 행동 제한

레지스트리 ‘DisableTaskMgr’ 를 1로 설정해 작업 관리자 실행을 방해한다. 사용자는 작업 관리자를 사용할 수 없게 되어 악성 프로세스를 종료할 수 없게 된다.

[그림] 작업 관리자 실행 방해[그림] 작업 관리자 실행 방해



사용자가 안전모드로 부팅하는 것을 방해하기 위해, 이와 관련된 레지스트리 제거를 시도한다. 만약 아래의 값들이 지워지면 안전모드로 부팅이 되지 않는다.

[그림] 안전 모드 부팅 방해[그림] 안전 모드 부팅 방해




3-4. 기타 행위

Windows 에 포함되어 있는 Power Shell 명령어를 사용하여 랜섬노트 이미지 파일을 다운로드한다.

[그림] PowerShell 을 통한 사진 다운로드[그림] PowerShell 을 통한 사진 다운로드



다운로드한 이미지는 winstrsp.exe 가 생성하는 winopen.exewinopen.exe 를 통해 윈도우로 출력된다. 생성된 EXE 파일은 또한 화면 잠금 동작을 수행해 사용자가 이 화면 외에 다른 화면은 볼 수 없도록 한다. 우측 하단에 이메일 주소와 메시지를 보내면 해당 이메일을 통해 결제 안내 메시지를 받을 수 있다.

[그림] 공격자에게 메일 전송[그림] 공격자에게 메일 전송



[그림] 공격자로부터 온 메일[그림] 공격자로부터 온 메일





4. 결론


해당 랜섬웨어는 파일을 암호화시키는 것이 아니라 단순히 삭제하기 때문에 디스크에 데이터가 남아있어 복구툴을 이용해 파일을 복구할 수 있다. 하지만 삭제형 랜섬웨어가 다른 형태로 변형되어 파일을 삭제하기 전 원본 데이터를 덮어씌운다면 복구 툴을 사용하더라도 복구가 어려워 진다. 


그러므로 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져 랜섬웨어 공격을 사전에 방지해야 한다.


해당 Ranscam 과 화면 잠금 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Locky의 변종, Zepto 랜섬웨어 분석 보고서 



 

 

1. 개요

연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

FB823FF1EC737DAA.docm

파일크기

39,533 byte

진단명

Trojan-Downloader/W32.MSWord.Gen

악성동작

랜섬웨어 다운로더

네트워크

195.***.***.188 – 랜섬웨어 다운로드






 

구분

내용

파일명

filarmon.exe

파일크기

369,152 byte

진단명

Ransom/W32.Locky.369152

악성동작

파일 암호화

네트워크

148.***.**.29 – C&C

m****v*3.m****st.com – C&C

d****o****y**v.k****t***v.vds.f****th.ru – C&C

 


2-2. 유포 경로

Locky 가 주로 이메일을 통해 유포된 것처럼 Zepto 또한 같은 방식으로 유포된다. 사용자가 메일의 첨부파일을 여는 순간 감염이 시작된며, 매크로 기능을 가진 첨부파일을 실행할 경우 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일을 다운로드 하고 실행한다.



[그림 1] 랜섬웨어를 다운로드 하는 첨부파일





2-3. 실행 과정

첨부된 워드 문서를 열면 아래의 그림과 같이 매크로 설정이 나타난다. 만약 매크로가 활성화되어 있다면 별도의 알림 창 없이 악성 동작이 바로 수행된다. 매크로는 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일(filarmon.exe)을 임시 폴더 하위에 다운로드 한다. 다운로드 된 랜섬웨어 파일은 바로 실행되어 파일 암호화를 진행한다.



[그림 2] 매크로포함 워드문서 보안 경고






3. 악성 동작

3-1. 랜섬웨어 다운로드 및 복구 이미지 제거

첨부파일을 실행시키면 공격자 서버와 연결을 시도한다, 성공적으로 연결되었을 경우 아래와 같이 추가 악성코드를 다운로드 한다. 다운로드 된 파일명은 filarmon.exe 로 임시 폴더 하위에 저장 및 실행되어 파일 암호화를 수행한다.


[그림 3] 네트워크를 통한 파일 다운로드



filarmon.exe 는 윈도우 정상 프로세스 vssadmin.exe 를 통해 시스템 복구 이미지를 삭제한다. 이는 파일이 암호화 된 후사용자가 감염 이전으로 시스템을 복구하는 것을 방지하는 것으로 대부분의 랜섬웨어에서 쉽게 볼 수 있는 동작이다.

 

[그림 4] VSS 제거


 



3-2. 파일 암호화

랜섬웨어는 공격자의 C&C 서버와 통신을 시도한다. 통신이 정상적으로 이루어질 경우 랜섬웨어는 파일에 대한 암호화를 시작한다. 암호화 시 아래의 그림과 같이 원본의 내용과 파일명이 모두 바꾸고, 확장자를 .zepto 로 변경한다. 감염 대상이 되는 파일 확장자는 아래와 같다.


구분

내용

zepto 랜섬웨어

암호화 감염 대상 확장자

.123 .3dm .3ds .3g2 .3gp .602 .aes .arc .asc .asf .asm .asp .avi .bak .bat .bmp .brd .cgm .cmd .cpp .crt .csr .csv .dbf .dch .dif .dip .djv .djvu .doc .docb .docm .docx .dot .dotm .dotx .fla .flv .frm .gif .gpg .hwp .ibd .jar .java .jpeg .jpg .key .lay .lay6 .ldf .m3u .m4u .max .mdb .mdf .mid .mkv .mov .mp3 .mp4 .mpeg .mpg .ms11 .myi .nef .odb .odg .odp .ods .odt .otg .otp .ots .ott .p12 .pas .pdf .pem .php .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .psd .rar .raw .rtf .sch .sldm .sldx .slk .stc .std .sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tbk .tgz .tif .tiff .txt .uop .uot .vbs .vdi .vmdk .vmx .vob .wav .wb2 .wk1 .wks .wma .wmv .xlc .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .zip .c .h .onetoc2 .SQLITE3 .SQLITEDB .litesql .litemod .forge .d3dbsp .asset .qcow2 .tar.bz2…

[표 1] 암호화하는 확장자


[그림 5] 암호화된 파일과 랜섬노트 파일


암호화가 진행됨에 따라 각 폴더에 랜섬노트(HELP_instructions.html)를 생성한다. 랜섬노트에는 이 랜섬웨어에서 사용한 암호화 방식(RSA-2048, AES-128)의 설명과 복호화 방법이 내포돼있다.



[그림 6] 랜섬노트 내용




4. 결론

랜섬웨어에 감염된 파일은 복호화 키를 알아내지 못하면 복구가 불가능하다. 랜섬웨어로 인한 피해가 여전히 나타나고 있으므로 사전에 주의를 하는 것이 매우 중요하다. 


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 MS 매크로 파일과 랜섬웨어 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect