‘Trick-Crypt ransomware’ 감염 주의



1. 개요 


현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다.


IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다.


암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다.


이번 보고서에서 다루는 ‘Trick-Crypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 모든 확장자를 암호화하는 랜섬웨어이다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.JS

파일크기

7,415 byte

진단명

Script/W32.Trick-Crypt-Downloader

악성동작

다운로더

 

구분

내용

파일명

임의의 파일명.exe [Random9자리]

파일크기

241,664 byte

진단명

Ransom/W32.Trick-Crypt.241664

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 JS파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

첨부된 JS파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.


[그림 1] 첨부된 JS파일[그림 1] 첨부된 JS파일

 



3. 악성 동작


3-1. 랜섬웨어 다운로드

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE 형태의 랜섬웨어 파일을 다운로드 한다. 다운로드가 완료된 파일의 이름은 random한 이름으로 생성된다.


[그림 2] 랜섬웨어 다운로드[그림 2] 랜섬웨어 다운로드





3-2. 파일 암호화

해당 랜섬웨어는 JS파일을 통하여 다운로드 된 실행파일을 다시 랜덤한 9자리의 파일명으로 바꾸어 암호화 동작을 수행한다. 암호화 동작이 완료되면 바탕화면과 암호화 대상 폴더 마다 .html형식의 랜섬노트가 생성된 것을 확인할 수 있다.


[그림3] 암호화 된 파일과 랜섬노트[그림3] 암호화 된 파일과 랜섬노트



사용자 PC를 탐색하며 모든 확장자 파일을 대상으로 암호화 한 뒤. ‘ .crypt ’ 라는 확장자를 덧붙인다. 

 

구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자

[1] 암호화 대상 파일 확장자




3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 


[그림4] 쉐도우 파일 삭제[그림4] 쉐도우 파일 삭제




3-4. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Trick-Crypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 지속적으로 유사한 변종이 나타나고 있다. 랜섬웨어는 실행파일 형식으로만 유포를 하는게 아니기 때문에 사용자가 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Scarab ransomware’ 감염 주의



1. 개요 


사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다.


기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다.


이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Scarab_Ransom.exe

파일크기

350,208 byte

진단명

Ransom/W32.Scarab.350208

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 실행파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘Scarab ransomware’ 는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 .[resque@plague.desi].scarab 문자와 확장자를 덧붙인다. 또한, 암호화 된 폴더에 ‘IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ 랜섬노트를 생성하며, 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.




3. 악성 동작


3-1. 파일 암호화

‘Scarab ransomware’ 랜섬웨어는 원본 프로세스에서 파일 암호화 동작을 수행하지 않고 실제 원본파일이름과 동일한 자식프로세스를 생성하여 파일 암호화 동작을 수행한다.


[그림 1] 자식 프로세스 생성[그림 1] 자식 프로세스 생성



사용자 PC 를 탐색하며 아래 [표 1] 에 해당하는 파일의 경우 암호화 한 뒤. ‘ [resque@plague.desi].scarab’ 이라는 확장자를 덧붙인다.   

구분

내용

암호화 대상 파일

확장자

efs,000,001,1,101,103,108,110,123,128,1cd,1sp,1st,3,3d,3d4,3dd,3df,3df8,3dm,3dr,3ds,3dxml,3fr,3g2,3ga,
3gp,3gp2,3mm,3pr,3w,4w7,602,7z,7zip,8,89t,89y,8ba,8bc,8be,8bf,8bi8,8bl,8bs,8bx,8by,8li,8svx,8xt,9xt,9xy,
a$v,a2c,aa,aa3,aac,aaf,aah,aaui,ab4,ab65,abc,abk,abt,abw,ac2,ac3,ac5,acc,accdb,accde,accdr,accdt,ace,acf,
ach,acp,acr,acrobatsecuritysettings,acrodata,acroplugin,acrypt,act,ad,ada,adb,adc,add,ade,adi,adoc,ados,
adox,adp,adpb,adr,ads,adt,aea,aec,aep,aepx,aes,aet,afdesign,afm,afp,agd1,agdl,age3rec,age3sav,age3scn,
age3xrec,age3xsav,age3xscn,age3yrec,age3ysav,age3yscn,ahf,ai,aif,aiff,aim,aip,ais,ait,ak,al,al8,ala,alb3,alb4,
alb5,alb6,ald,ali,allet,alt3,alt5,amf,aml,amr,amt,amu,amx,amxx,anl,ann,ans,ansr,anx,aoi,ap,apa,apd,ape,apf,

apj,apk,apnx,apo,app,approj,apr,apt,apw,apxl,arc,arch00,arff,ari,arj,aro,arr,ars,arw,as,as$,as3,asa,asc,ascm,

ascx,asd,ase,asf,ashx,ask,asl,asm,asmx,asn,asnd,asp,aspx,asr,asset,ast,asv,asvx,asx,ath,atl,atomsvc,atw,

automaticdestinations-ms,aux,av,avi,avn,avs,awd,awe,awg,awp,aws,awt,aww,awwp,ax,azf,azs,azw,azw1,

azw3,azw4,b,b27,b2a,back,backup,backupdb,bad,bak,bak~,bamboopaper,bank,bar,bau,bax,bay,bbcd,bbl,

bbprojectd,bbs,bbxt,bc5,bc6,bc7,bcd,bck,bcp,bdb,bdb2,bdp,bdr,bdt2,bdt3,bean,bfa,bgt,bgv,bi8,bib,bibtex,

bic,big,bik,bil,bin,bina,bizdocument,bjl,bk,bk!,bk1,bk2,bk3,bk4,bk5,bk6,bk7,bk8,bk9,bkf,bkg,bkp,bks,bkup,

bld,blend,blend2,blg,blk,blm,blob,blp,bmc,bmf,bmk,bml,bmm,bmml,bmp,bmpr,bna,boc,book,bop,bp1,bp2

,bp3,bpf,bpk,bpl,bpm,bpmc,bps,bpw,brd,breaking_bad,brh,brl,brs,brx,bsa,bsk,bso,bsp,bst,btd,btf,btoa,btx,

burn,burntheme,bvd,bwd,bwf,bwp,bxx,bzabw,c,c2e,c6,cadoc,cae,cag,calca,cam,camproj,cap,capt,car,caro,cas,

cat,catproduct,cawr,cbf,cbor,cbr,cbz,cc,ccc,ccd,ccf,cch,ccitt,cd,cd1,cd2,cdc,cdd,cddz,cdf,cdi,cdk,cdl,cdm,cdml,

cdmm,cdmz,cdpz,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cds,cdt,cdtx,cdx,cdxml,ce1,ce2,cef,cer,cert,cf5,cfd,cfg,cfp,cfr,cgf,

cgfiletypetest,cgi,cgm,cgp,chi,chk,chm,chml,chmprj,chp,chpscrap,cht,chtml,cib,cida,cif,cipo,civ4worldbuildersave,

civbeyondswordsave,cl2arc,cl2doc,clam,clarify,class,clb,clkd,clkt,clp,clr,cls,clx,cmf,cml,cmp,cms,cmt,cmu,cnf,cng,

cnt,cnv,cod,col,comicdoc,comiclife,compositionmodel,compositiontemplate,con,conf,config,contact,converterx,

cp,cpc,cpd,cpdt,cphd,cpi,cpio,cpp,cpy,cr2,crashed,craw,crb,crd,creole,cri,crjoker,crs,crs3,crt,crtr,crw,crwl,crypt,

crypted,cryptowall,cryptra,cs,cs8,csa,cse,csh,csi,csl,cso,csp,csr,css,cst,csv,ctbl,ctd,cte,ctf,ctl,ctt,ctxt,cty,cue,current,

cvj,cvl,cvw,cw3,cwf,cwk,cwn,cwr,cws,cwwp,cyi,cys,d,d3dbsp,dac,dadx,dag,dal,dap,das,dash,dat,database,datx,

dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbc,dbf,dbfv,db-journal,dbk,dbr,dbs,dbx,dc2,dc4,dca,dcd,

dcf,dch,dco,dcp,dcr,dcs,dct5,dcu,ddc,ddcx,ddd,ddif,ddoc,ddrw,dds,deb,debian,dec,ded,default,del,dem,der,

des,desc,description,design,desklink,det,deu,dev,dex,dfe,dfl,dfm,dft,dfti,dgc,dgm,dgpd,dgr,dgrh,dgs,dhe,dic,did,

dif,dii,dim,dime,dip,dir,directory,disc,disco,disk,dit,divx,diz,djbz,djv,djvu,dk@p,dlc,dlg,dmbk,dmg,dmp,dmtemplate,

dmv,dna,dng,dnl,dob,doc,doc#,docb,doce,docenx,dochtml,docl,docm,docmhtml,docs,docset,docstates,doct,

documentrevisions-v100,docx,docxl,docxml,dok,dot,dothtml,dotm,dotmenx,dotx,dotxenx,dox,doxy,doz,dp,dpd,dpi

,dpk,dpl,dpr,drd,dream,drf,drm,drmx,drmz,drw,dsc,dsd,dsdic,dsf,dsg,dsk,dsl,dsn,dsp,dsy,dtd,dtm,dtml,dtp,dtx,dump,

dvb,dvd,dvi,dvs,dvx,dvz,dwd,dwdoc,dwf,dwfx,dwg,dwlibrary,dwp,dwt,dxb,dxd,dxe,dxf,dxg,dxn,dxr,dxstudio,dzp,e3s,

e4a,easmx,ebk,ebs,ec4,ecc,ecr,edb,edd,edf,edl,edml,edn,edoc,edrwx,edt,edz,efa,efax,eff,efl,efm,efr,eftx,efu,efx,egr,

egt,ehp,eif,eip,ekm,el6,eld,elf,elfo,eln,emc,emf,eml,emlxpart,emm,enc,enciphered,encrypted,enfpack,ent,enx,enyd,

eob,eot,ep,epdf,epf,epk,eprtx,eps,epsf,ept,epub,eql,erbsql,erd,ere,erf,err,es,es3,esc,esd,esf,esm,esp,ess,esv,et,ete,

etng,etnt,ets,etx,euc,evo,evy,ewl,ex,exc,exd,exf,exif,exprwdhtml,exprwdxml,exx,ez,ezc,ezm,ezs,ezz,f4v,f90,f96,fac,

fadein,fae,faq,fax,fbd,fbp6,fbs,fcd,fcf,fcstd,fd,fdb,fdf,fdoc,fdr,fds,fdseq,fdw,fdx,fed,feed-ms,feedsdb-ms,ff,ffa,ffd,

ffdata,fff,ffl,ffo,fft,ffx,fh,fhd,fig,fin,fl,fla,flac,flag,flat,flf,flib,flka,flkb,flm,flp,fls,flt,fltr,flv,flvv,fly,fm,fm3

,fmc,fmd,fmf,fml,fmp,fmp3,fnf,fo,fodg,fodp,fods,fodt,folio,for,forge,fos,fountain,fp,fpage,fpdoclib,fpenc,fphomeop,

fpk,fplinkbar,fpp,fpt,fpx,fra,frag,frdat,frdoc,freepp,frelf,frm,fs,fsc,fsd,fsf,fsh,fsp,fss,ft10,ft11,ft7,ft8,ft9,ftil,ftr,fwk,

fwtemplate,fxd,fxg,fxo,fxr,fzh,fzip,ga3,gam,gan,gcsx,gct,gdb,gdc,gdoc,ged,gev,gevl,gfe,gform,gfx,ggb,ghe,gho,gif,gil,

giw,glink,glk,glo,glos,gly,gml,gmp,gnd,gno,gofin,gp4,gpd,gpf,gpg,gpn,gpx,gpz,gra,grade,gray,grey,grf,grk,grle,groups,

gry,gs,gsa,gsf,gsheet,gslides,gsm,gthr,gui,gul,gvi,gxk,gxl,gz,gzig,gzip,h,h1q,h1s,h1w,h2o,h3m,h4r,haml,hbk,hbl,hbx,hcl,

hcw,hda,hdd,hdl,hdt,hdx,hed,help,helpindex,hex,hfd,hft,hhs,hkdb,hkx,hlf,hlp,hlx,hlx2,hlz,hm2,hmskin,hnd,hoi4,hot,

hp2,hpd,hpj,hplg,hpo,hpp,hps,hpt,hpw,hqx,hrx,hs,hsm,hsx,hta,htm,htm~,html,htmls,htmlz,htms,htpasswd,htz5,hvpl,

hw3,hwp,hwpml,hwt,hxe,hxi,hxq,hxr,hxs,hyp,hype,iab,iaf,ial,ibank,ibcd,ibd,ibk,ibz,icalevent,icaltodo,icc,icml,icmt,ico,

ics,icst,icxs,idap,idc,idd,idl,idml,idp,idx,ie5,ie6,ie7,ie8,ie9,iff,ifp,ign,igr,ihf,ihp,iif,iiq,iks,ila,ildoc,img,imp,imr,incp,incpas,

ind,indb,indd,indl,indp,indt,inf,info,ink,inld,inlk,inp,inprogress,inrs,inss,installhelper,insx,internetconnect,inx,ioca,iof,

ipa,ipf,ipr,ish1,ish2,ish3,iso,ispx,isu,isz,itdb,ite,itl,itm,itmz,itp,its,ivt,iw44,iwa,iwd,iwi,iwprj,iwtpl,ix,ixv,jac,jar,jav,java,

jb2,jbc,jbig,jbig2,jc,jdd,jfif,jge,jgz,jhd,jiaf,jias,jif,jiff,jnt,joe,jp1,jpc,jpe,jpeg,jpf,jpg,jpgx,jpm,jpw,jrf,jrl,jrprint,js,jsd,json,jsp,

jspa,jspx,jtd,jtdc,jtt,jtx,just,jw,jwl,jww,k25,kbd,kbf,kc2,kdb,kdbx,kdc,kde,kdf,kes,key,keynote,key-ef,kf,kfm,kfp,kid,klq,

klw,kmz,knt,kos,kpdx,kpr,ksd,ksp,kss,ksw,kuip,kwd,kwm,kwp,laccdb,lastlogin,lat,latex,lax,lay,lay6,layout,lbf,lbi,lbl,lcd,

lcf,lcn,ldb,ldf,lfe,lgp,lhd,lib,lit,litemod,ll3,llv,lmd,lngttarch2,lnk,localstorage,log,logonxp,lok,lot,lp,lp2,lp7,lpa,lpc,lpd,lpdf,

lpx,lrf,ls5,lst,ltcx,ltm,ltr,ltx,lua,lvd,lvivt,lvl,lvw,lwd,lwo,lwp,lyx,m,m13,m14,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,m7p

,maca,mag,maker,maml,man,manu,map,mapimail,marc,markdn,mars,mass,max,maxfr,maxm,mbbk,mbox,mbx,mc9,

mcd,mcdx,mcf,mcgame,mcmac,mcmeta,mcrp,mcw,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdbhtml,mdc,

mdccache,mddata,mdf,mdg,mdi,mdk,mdl,mdn,mds,mecontact,med,mef,meh,mell,mellel,menu,meo,met,

metadata_never_index,mf,mfa,mfp,mfw,mga,mgmt,mgourmet,mgourmet3,mhp,mht,mhtenx,mhtmlenx,mi,mic,mid,

mif,mim,mime,mindnode,mip,mission,mix,mjd,mjdoc,mke,mkv,mla,mlb,mlj,mlm,mls,mlsxml,mlx,mm,mm6,mm7,mm8,

mmap,mmc,mmd,mme,mmjs,mml,mmo,mmsw,mmw,mny,mo,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,

mp3,mp4,mp4v,mpa,mpe,mpeg,mpf,mpg,mph,mpj,mpq,mpqge,mpr,mpt,mpv,mpv2,mrd,mru,mrw,mrwref,ms,msd,

mse,msg,mshc,msi,msie,msl,mso,msor,msp,msq,ms-tnef,msw,mswd,mtdd,mtml,mto,mtp,mts,mtx,mug,mui,mvd,mvdx,

mvex,mwd,mwii,mwpd,mwpp,mws,mxd,mxg,mxp,myd,mydocs,myi,mz,n3,narrative,nav,navmap,nb,nbak,nbf,nbp,ncd,

ncf,nd,ndd,ndf,ndl,ndr,nds,ne1,ne3,nef,nfo,nfs11save,ng,njx,nk2,nmbtemplate,nmu,nokogiri,nop,note,now,npd,npdf,npp

,npt,nrbak,nrg,nri,nrl,nrmlib,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nst,ntf,ntl,ntp,nts,number,numbers,nvd,nvdl,nvram,nwb,

nwbak,nwcab,nwcp,nx^d,nx__,nx1,nx2,nxl,nyf,oa2,oa3,oab,oad,oas,obd,obj,obr,obt,obx,obz,ocdc,ocs,oda,odb,odc,

odccubefile,odf,odg,odh,odi,odif,odm,odo,odp,ods,odt,odt#,odttf,odz,officeui,ofn,oft,oga,ogc,ogg,oil,ojz,okm,ole,

ole2,olf,olv,oly,omlog,omp,onb,one,oos,oot,opd,opf,opj,oplx,opn,opt,opx,opxs,orf,ort,osd,osdx,ost,otc,otf,otg,oth,

oti,otn,otp,ots,ott,otw,out,ovd,owl,oxps,oxt,p10,p12,p2s,p3x,p65,p7b,p7c,p7z,pab,pack,pad,pages,pages-tef,pak,paq,pas,pat,paux,pbd,pbf,pbk,pbp,pbr,pbs,pbx5script,pbxscript,pcd,pcf,pcj,pct,pcv,pcw,pd,pdb,pdc,pdcr,

pdd,pdf,pdf_,pdf_profile,pdf_tsid,pdfa,pdfe,pdfenx,pdfl,pdfua,pdfvt,pdfx,pdfxml,pdfz,pdg,pdp,pdz,peb,pef,pem,

pez,pf,pfc,pfd,pfl,pfm,pfsx,pft,pfx,pg,pgs,php,phr,phs,pih,pixexp,pj2,pj4,pj5,pk,pkb,pkey,pkg,pkh,pkpass,pl,plan,

plb,plc,pld,pli,pln,plus_muhd,pm,pm3,pm4,pm5,pm6,pm7,pmd,pmt,pmv,pmx,png,pnu,po,pod,pool,pot,pothtml,

potm,potx,pp3,ppam,ppd,ppdf,ppf,ppj,ppp,pps,ppsenx,ppsm,ppsx,ppt,ppte,ppthtml,pptl,pptm,pptmhtml,pptt,

pptx,ppws,ppx,prc,prd,pref,prel,prf,prj,prn,pro,pro4,pro4dvd,pro5,pro5dvd,pro5plx,pro5x,proofingtool,props,

proqc,prproj,prr,prs,prt,prtc,prv,ps,ps2,ps3,psa,psafe3,psb,psd,pse8db,psf,psg,psi2,psip,psk,psm,psmd,

pspimage,pst,psw,psw6,pswx,psz,pt3,pt6,ptc,ptf,pth,ptk,ptn,ptn2,pts,ptx,pub,pubf,pubhtml,pubmhtml,pubx,puz,pvd,pve,

pvf,pw,pwd,pwe,pwf,pwi,pwm,pwp,pwre,pxd,pxl,pxp,py,pys,pzc,pzf,pzt,qba,qbb,qbl,qbm,qbr,qbw,qbx,qby,qch,qcow,

qcow2,qct,qdf,qed,qel,qfl,qfxx,qhp,qht,qhtm,qic,qif,qlgenerator,qpx,qrt,qt,qtq,qtr,qtw,quox,qvw,qwd,qwt,qxb,qxd,qxl

,qxp,qxt,r00,r01,r02,r03,r0f,r0z,r3d,ra,ra2,raf,ram,ramd,rap,rar,rat,raw,razy,rb,rbc,rcb,rd,rd1,rdb,rdf,rdfs,rdi,rdo,

rdoc,rdoc_options,rdz,re4,rec,rels,res,resbuild,rest,result,rev,rf,rf1,rft,rgn,rgo,rgss3a,rha,rhif,rim,rit,rlf,rll,rm,rm5,r

md,rmf,rmh,rna,rng,rnt,rnw,ro3,rofl,roi,ros,rov,row,rox,rpf,rpt,rptr,rrd,rrpa,rrt,rrx,rs,rsdf,rsdoc,rsm,rsp,rsrc,rst,

rsw,rt,rt_,rtdf,rte,rtf,rtf_,rtfd,rtk,rtpi,rts,rtsl,rtsx,rtx,rum,run,rv,rvf,rvt,rw2,rwl,rwlibrary,rwz,rxdoc,rzk,rzx,s3db,

s8bn,sa5,sa7,sa8,saas,sad,saf,safe,safetext,sam,sas7bdat,sav,save,say,sb,sbn,sbo,sbpf,sbsc,sbst,sc2save,scd,

scdoc,sce,sch,scm,scmt,scn,scr,scriv,scrivx,scs,scspack,scssc,sct,scw,scx,sd,sd0,sd1,sda,sdb,sdc,sdd,sddraft,

sdf,sdi,sdl,sdmdocument,sdn,sdo,sdoc,sdp,sdr,sds,sdt,sdv,sdw,search-ms,secure,sef,sel,sen,

seq,sequ,server,ses,set,setup,sev,sff,sfs,sfx,sgf,sgi,sgl,sgm,sgml,sgz,sh,sh6,shar,shb,show,

shr,shs,shtml,shw,shy,sic,sid,sidd,sidn,sie,sik,sis,sky,sla,sldm,sldx,slf,slk,slm,slt,slz,sm,smd,sme,smf,smh,smlx,smn,smp,

sms,smwt,smx,smz,snb,snf,sng,snk,snp,snt,snx,so,soi,spb,spd,spdf,spk,spl,spm,spml,sppt,spr,sprt,sprz,sql,sqlite,sqlite3,

sqlitedb,sqllite,sqx,sr2,src,srf,srfl,srs,srt,srw,ssa,ssh,ssi,ssiw,ssm,ssx,st4,st5,st6,st7,st8,stc,std,sti,stm,stp,stpz,struct,

stt,stw,stx,stxt,sty,sud,suf,sum,surf,svd,svdl,svg,svi,svm,svn,svp,svr,svs,swd,swdoc,sweb,swf,switch,swp,sxc,sxd,sxe,

sxg,sxi,sxl,sxm,sxml,sxw,syn,syncdb,t,t01,t03,t05,t10,t12,t13,t14,t2,t2k,t2t,t4g,t80,ta1,ta2,ta9,tabula-doc,

tabula-docstyle,tah,tar,tax,tax2009,tax2013,tax2014,tb,tbb,tbd,tbk,tbkx,tbz2,tcd,tch,tck,tcx,tdg,tdl,tdoc,tdr,te1,

template,tex,texi,texinfo,text,textclipping,textile,tfd,tfm,tfr,tfrd,tg,tga,tgz,thm,thml,thmx,thr,tib,tif,tiff,tjp,tk3,tlb,

tld,tlg,tlt,tlx,tlz,tm,tm3,tmb,tmd,tml,tmlanguage,tmv,tmz,tns,tnsp,toast,toc,topx,tor,torrent,totalslayout,tp,tpl,tpo,

tpsdb,tpu,tpx,trashinfo,trif,trp,ts,tsc,tt11,tt2,ttax,ttxt,tu,tur,tvd,twdi,twdx,tww,tx,txd,txe,txf,txm,txn,txt,txtrpt,u3d,

uax,ubz,ucd,udb,udf,udl,uea,uhtml,ukr,ulf,uli,ulys,ump,umx,unity3d,unr,unx,uof,uop,uos,uot,updf,upk,upoi,upp,

urd-journal,urf,url,urp,usa,usx,ut2,ut3,utc,utd,ute,utf8,uti,utm,uts,utx,uu,uud,uue,uvx,uxx,v,v2t,val,vault,vbadoc,

vbd,vbk,vbox,vbs,vc,vcal,vcd,vce,vcf,vdf,vdi,vdo,vdoc,vdt,ver,vf,vfs0,vhd,vhdx,view,viz,vlc,vlt,vmbx,vmdk,vmf,vmg,

vmm,vmsd,vmt,vmx,vmxf,vob,voprefs,vor,vp,vpk,vpl,vpp_pc,vs,vsd,vsdx,vsf,vsi,vspolicy,vst,vstx,vtf,vthought,vtv,vtx,

vw,vw3,w,w2p,w3g,w3x,w51,w52,w60,w61,w6bn,w6w,w8bn,w8tn,wab,wad,waff,wallet,war,wav,wave,waw,wb,wb2,

wb3,wbk,wbt,wbxml,wbz,wcf,wcl,wcn,wcp,wcst,wd0,wd1,wd2,wdbn,wdgt,wdl,wdn,wdoc,wdx9,web,webdoc,webpart,

wep,wflx,wht,wiz,wk!,wk1,wk3,wk4,wkb,wki,wkl,wks,wlb,wld,wll,wls,wlxml,wm,wma,wmd,wmdb,wmf,wmga,wmk,wml,

wmlc,wmmp,wmo,wms,wmv,wmx,wn,wolf,word,wordlist,wotreplay,wow,wp,wp42,wp5,wp50,wp6,wp7,wpa,wpc2,

wpd,wpd0,wpd1,wpd2,wpd3,wpe,wpf,wpk,wpl,wpost,wps,wpt,wpw,wr1,wrf,wri,wrlk,ws,ws1,ws2,ws3,ws4,ws5,ws6,

ws7,wsd,wsf,wsh,wsp,wtbn,wtd,wtf,wtmp,wtp,wts,wtt,wtx,wvw,wvx,wwcx,wwi,wwl,wws,wwt,wxmx,wxp,wyn,wzn,

wzs,x11,x16,x3f,x3g,xamlx,xar,xav,xbd,xbrl,xci,xda,xdc,xdf,xdo,xdoc,xdw,xf,xfd,xfdf,xfi,xfl,xfn,xfo,xfp,xfx,xgml,xht,xhtm,

xhtml,xif,xig,xis,xjf,xl,xla,xlam,xlb,xlc,xle,xlf,xline,xlist,xlk,xll,xlm,xlnk,xlr,xls,xlsb,xlse,xlshtml,xlsl,xlsm,xlst,xlsx,xlsxl,xlt,

xlthtml,xltm,xltx,xlv,xlw,xlwx,xma,xmdf,xml,xmmap,xmn,xmp,xms,xmt_bin,xmta,xpd,xpi,xpm,xps,xpse,xpt,xpwe,xqm,

xqr,xqx,xrdml,xsc,xsd,xsig,xsl,xslt,xtbl,xtd,xtg,xtml,xtps,xtrl,xv0,xv2,xv3,xvg,xvid,xvl,xwd,xweb3htm,xweb3html,

xweb4stm,xweb4xml,xwf,xwp,xxe,xxx,xy,xy3,xy4v,xyd,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp

[표 1] 암호화 대상 파일 확장자




암호화 된 파일의 모습은 아래 [그림 2]와 같으며, 바탕화면과 대상 폴더 마다 랜섬노트가 생성된 것을 확인할 수 있다.


[그림2] 암호화 된 파일과 랜섬노트[그림2] 암호화 된 파일과 랜섬노트






3-2. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림3] 쉐도우 파일 삭제[그림3] 쉐도우 파일 삭제






3-3. 금전 요구

파일 암호화가 완료되면 ‘Scarab Ransomware’ 는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Scarab Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 랜섬웨어가 회사나 공공기관 만을 상대로 유포하는 것이 아니기 때문에 개인 사용자일 경우에도 안심하지 않고 항상 주의하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다



1. 개요 


지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다.


‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다.


타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈도우 운영체제뿐만 아니라 리눅스 운영체제에 대해서도 보안에 각별한 주의를 기울여야 할 것이다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Erebus (ELF파일)

파일크기

487,166 Byte / 429,144 Byte

악성동작

파일 암호화, 금전 요구

 

[그림 1] ‘Erebus’ 파일 정보[그림 1] ‘Erebus’ 파일 정보




2-2. 유포 경로

지난 2월 국내에서 처음으로 발견되었으며 복구 비용으로 약 10만원정도의 금액을 요구하여 저렴한 랜섬웨어로 알려져 왔다. 최근 리눅스 서버를 대상으로 공격을 시도 한 변종 ‘Erebus’ 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.




2-3. 실행 과정

최근에 발견된 ‘Erebus’ 변종 랜섬웨어에 감염이 되면 해당 PC의 주요 경로들을 탐색하여 대상이 되는 파일에 대하여 암호화 동작을 수행한다. 그리고 원본파일명을 변경한 후 ‘.ecrypt’로 확장자를 덧붙인다. 암호화 된 파일 경로에는 아래와 같이 .html 및 txt형식의 랜섬노트가 생성된다는 것을 확인 할 수 있다.


[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화를 수행하고 암호화가 완료되면 원본파일명을 변경한다. 또한 암호화된 파일에 대해서 ‘.ecrypt’ 로 변경한다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일

확장자

"tar","gz","tgz","taz","bz","tbz","bz2","lz","lzma","lz4","contact","dbx","doc","docx","jnt"

,"jpg","mapimail","msg","oab","ods","pdf","pps","ppsm","ppt","pptm","prf","pst","rar",

"rtf","txt","wab","xls","xlsx","xml","zip","1cd","3ds","3g2","3gp","7z","7zip","accdb","aoi",

"asf","asp","aspx","asx","avi","bak","cer","cfg","class","config","css","csv","db","dds","dwg",

"dxf","flf","flv","html","idx","js","key","kwm","laccdb","ldf","lit","m3u","mbx","md","mdf",

"mid","mlb","mov","mp3","mp4","mpg","obj","odt","pages","php","psd","pwm","rm",

"safe","sav","save","sql","srt","swf","thm","vob","wav","wma","wmv","xlsb","3dm","aac",

"ai","arw","c","cdr","cls","cpi","cpp","cs","db3","docm","dot","dotm","dotx","drw","dxb",

"eps","fla","flac","fxg","java","m","m4v","max","mdb","pcd","pct","pl","potm","potx","ppam",

"ppsm","ppsx","pptm","ps","pspimage","r3d","rw2","sldm","sldx","svg","tga","wps","xla",

"xlam","xlm","xlr","xlsm","xlt","xltm","xltx","xlw","act","adp","al","bkp","blend","cdf","cdx",

"cgm","cr2","crt","dac","dbf","dcr","ddd","design","dtd","fdb","fff","fpx","h","iif","indd"

,"jpeg","mos","nd","nsd","nsf","nsg","nsh","odc","odp","oil","pas","pat","pef","pfx","ptx",

"qbb","qbm","sas7bdat","say","st4","st6","stc","sxc","sxw","tlg","wad","xlk","aiff","bin",

"bmp","cmt","dat","dit","edb","flvv","gif","groups","hdd","hpp","log","m2ts","m4p","mkv",

"mpeg","ndf","nvram","ogg","ost","pab","pdb","pif","png","qed","qcow","qcow2","rvt","st7",

"stm","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","3fr","3pr","ab4","accde","accdr",

"accdt","ach","acr","adb","ads","agdl","ait","apj","asm","awg","back","backup","backupdb",

"bank","bay","bdb","bgt","bik","bpw","cdr3","cdr4","cdr5","cdr6","cdrw","ce1","ce2","cib",

"craw","crw","csh","csl","db_journal","dc2","dcs","ddoc","ddrw","der","des","dgc","djvu","dng",

"drf","dxg","eml","erbsql","erf","exf","ffd","fh","fhd","gray","grey","gry","hbk","ibank","ibd","ibz",

"iiq","incpas","jpe","kc2","kdbx","kdc","kpdx","lua","mdc","mef","mfw","mmw","mny","moneywell",

"mrw","myd","ndd","nef","nk2","nop","nrw","ns2","ns3","ns4","nwb","nx2","nxl","nyf","odb","odf",

"odg","odm","orf","otg","oth","otp","ots","ott","p12","p7b","p7c","pdd","pem","plus_muhd",

"plc","pot","pptx","psafe3","py","qba","qbr","qbw","qbx","qby","raf","rat","raw","rdb","rwl",

"rwz","s3db","sd0","sda","sdf","sqlite","sqlite3","sqlitedb","sr2","srf","srw","st5","st8","std","sti",

"stw","stx","sxd","sxg","sxi","sxm","tex","wallet","wb2","wpd","x11","x3f","xis","ycbcra","yuv",

"mab","json","ini","sdb","sqlite-shm","sqlite-wal","msf","jar","cdb","srb","abd","qtb","cfn",

"info","info_","flb","def","atb","tbn","tbb","tlx","pml","pmo","pnx","pnc","pmi","pmm","lck",

"pm!","pmr","usr","pnd","pmj","pm","lock","srs","pbf","omg","wmf","sh","war","ascx","tif"

[ 1] 암호화 대상 확장자





3-2. 금전 요구

파일 암호화가 완료되면 ‘Erebus’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구하는 랜섬노트를 생성한다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다.


[그림 4] 텍스트 형식의 랜섬노트[그림 4] 텍스트 형식의 랜섬노트




해당 페이지에서는 ‘Erebus’ 랜섬웨어 결제 안내페이지를 이용하기 위해 암호화 된 파일에 대한 정보를 기입하도록 유도하고 있다.


[그림 5] Tor 브라우저 접속[그림 5] Tor 브라우저 접속





4. 결론

이번에 확인한 ‘Erebus’ 랜섬웨어를 통해 랜섬웨어가 윈도우 운영체제 외에도 리눅스 운영체제를 대상으로 공격을 시도할 수 있다는 것을 알 수 있다.


또한, 리눅스 운영체제에서 동작할 수 있는 다른 유형의 랜섬웨어 공격이 발생할 여지가 있기 때문에, 리눅스 서버 담당자 및 일반 리눅스 사용자들은 각별히 주의하여 피해가 발생하지 않도록 주의 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석



1. 개요 


지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다.


기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다.


Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기 때문에 Windows 사용자들은 신속하게 긴급 패치를 조치하여야 한다. 또한, 2014년 4월 이후로 보안 업데이트 등 모든 지원이 종료된 Windows XP 및 Windows Server 2003등에 긴급보안패치도 발표하였기 때문에 사용자는 반드시 업데이트할 것을 권고한다.


이번 분석보고서에서는 일명 워너크라이로 불리는 ‘WannaCryptor’ 랜섬웨어에 대해 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mssecsvc.exe(임의의 파일명)

파일크기

3,723,264 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

SMB 취약점 공격, 숙주 파일

 


구분

내용

파일명

tasksche.exe

파일크기

3,514,368 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

Windows SMB(Server Message Block) 취약점을 악용하여 유포 되는 것으로 확인 된다. SMB 프로토콜은 네트워크에서 파일 및 프린터 등을 액세스 하는데 사용되는 프로토콜을 의미한다.



2-3. 실행 과정

‘WannaCryptor’ 랜섬웨어는 Windows SMB 원격 코드 실행 취약점을 악용하여 감염이 되기 때문에 2017년 3월 14일에 발표된 MS사의 SMB 취약점 패치를 업데이트 하지 않은 사용자 PC에 네트워크를 통하여 감염된다.

감염된 사용자 PC에서는 숙주파일이 먼저 실행이 되고, 숙주파일에서는 동일한 네트워크를 사용하고 있지만 SMB 취약점 패치를 하지 않은 다른 PC를 검색하여 또다시 유포 한다. 숙주 파일이 실행되면 “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” URL 에 접속을 시도하며, 해당 URL 에 접속하지 못할 경우, 악성동작을 수행한다. (해당 URL 은 변종마다 다를 수 있다)


해당 악성코드에 감염이 된 PC에서는 숙주파일로부터 드롭된 ‘tasksche.exe’ 파일이 실행되어 악성동작과 관련한 여러 파일을 생성하여 암호화 동작을 수행한다. 


[그림 1]  ‘WannaCryptor’ 랜섬웨어 실행 흐름[그림 1] ‘WannaCryptor’ 랜섬웨어 실행 흐름






암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경되는 것을 확인할 수 있다.


[그림 2]  ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면





3. 숙주 파일 동작


3-1. 서비스 생성

해당 악성파일은 URL을 체크 한 후에 “mssecsvc2.0” 라는 서비스를 생성한다.


[그림 3]  mssecsvc2.0 서비스 생성[그림 3] mssecsvc2.0 서비스 생성






3-2. 파일 드롭 및 실행

해당 악성코드는 다음과 같이 ‘tasksche.exe’ 라는 파일을 생성하여 ‘-i’ 인자를 주어 실행한다. 이 실행 파일은 실제 랜섬웨어 동작을 수행하는 파일이다.


[그림 4]  tasksche.exe 파일 생성[그림 4] tasksche.exe 파일 생성





3-3. 전파 방식

‘WannaCryptor’ 랜섬웨어의 숙주파일은 다른 PC들을 감염시키기 위해 랜덤으로 IP값을 생성하고 445번 port를 이용하여 감염을 시도한다. 


[그림 5] 악성코드 유포[그림 5] 악성코드 유포





4. 드롭파일 동작(tasksche.exe)


4-1. 파일 생성

‘WannaCryptor’ 랜섬웨어에 감염이 되면 숙주파일은 임의의 경로에 ‘tasksche.exe’ 파일을 드롭하고 실행한다. 그리고 드롭된 파일이 실행 되면 같은 경로에 아래 [그림 6] 과 같이 랜섬웨어와 관련된 다수의 파일을 압축해제 한다.


[그림 6] 악성파일 다수 생성[그림 6] 악성파일 다수 생성




압축해제 된 파일들의 역할은 다음과 같다. 

구분

내용

b.wnry

암호화 동작 수행 후 변경할 바탕화면 이미지 파일

c.wnry

Tor 관련 파일

f.wnry

암호화 된 파일 목록

r.wnry

랜섬노트 텍스트 파일

s.wnry

Tor 관련 압축파일

t.wnry

암화화 관련 DLL 파일 (실제 메모리에 Load되어 암호화 동작 수행)

u.wnry

랜섬노트 실행 파일 (@WanaDecryptor@.exe)

taskdl.exe

.WNCRYPT 확장자 파일목록 조회 및 삭제

taskse.exe

원격세션 관련 파일

[1] 압축 해제 된 악성코드 파일목록



압축 해제 된 파일 중 msg 하위 경로에 다음과 같이 여러 언어를 지원한다는 것을 확인 할 수 있다.


[그림 7] msg폴더 내부에 있는 국가별 언어 파일[그림 7] msg폴더 내부에 있는 국가별 언어 파일



또한 TaskData 하위 경로에는 토르(Tor)와 관련 된 파일이 생성된다. 이는 추적을 어렵게 하기 사용되는 것으로 확인된다.


[그림 8] Tor 관련 파일 생성[그림 8] Tor 관련 파일 생성





4-2. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.WNCRY’ 라는 확장자를 덧붙인다. 

구분

내용

암호화 대상 파일

확장자

".doc", ".docx", ".docb", ".docm", ".dot", ".dotm", ".dotx", ".xls", ".xlsx", ".xlsm", ".xlsb" ,".xlw", ".xlt", ".xlm", ".xlc", ".xltx", ".xltm", ".ppt", ".pptx", ".pptm", ".pot", ".pps", ".ppsm", ".ppsx", ".ppam", ".potx", ".potm", ".pst", ".ost", ".msg", ".eml", ".edb", ".vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", ".onetoc2", ".snt", ".hwp", ".602", ".sxi", ".sti", ".sldx", ".sldm", ".sldm", ".vdi", ".vmdk", ".vmx", ".gpg", ".aes", ".ARC", ".PAQ", ".bz2", ".tbk", ".bak", ".tar", ".tgz", ".gz", ".7z", ".rar", ".zip", ".backup", ".iso", ".vcd", ".jpeg", ".jpg", ".bmp", ".png", ".gif", ".raw", ".cgm", ".tif", ".tiff", ".nef", ".psd", ".ai", ".svg", ".djvu", ".m4u", ".m3u", ".mid", ".wma", ".flv", ".3g2", ".mkv", ".3gp", ".mp4", ".mov", ".avi", ".asf", ".mpeg", ".vob", ".mpg", ".wmv", ".fla", ".swf", ".wav", ".mp3", ".sh", ".class", ".jar", ".java", ".rb", ".asp", ".php", ".jsp", ".brd", ".sch", ".dch", ".dip", ".pl", ".vb", ".vbs", ".ps1", ".bat", ".cmd", ".js", ".asm", ".h", ".pas", ".cpp", ".c", ".cs", ".suo", ".sln", ".ldf", ".mdf", ".ibd", ".myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", ".sqlite3", ".asc", ".lay6", ".lay", ".mml", ".sxm", ".otg", ".odg", ".uop", ".std", ".sxd", ".otp", ".odp", ".wb2", ".slk", ".dif", ".stc", ".sxc", ".ots", ".ods", ".3dm", ".max", ".3ds", ".uot", ".stw", ".sxw", ".ott", ".odt", ".pem", ".p12", ".csr", ".crt", ".key", ".pfx", ".der"

[2] 암호화 대상 파일 확장자



암호화 된 파일은 아래와 같은 형태가 되며, “@Please_Read_Me@.txt”, “@WanaDecryptor@.exe “ 라는 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 9] 암호화 된 파일과 랜섬노트[그림 9] 암호화 된 파일과 랜섬노트





4-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화




4-4. 금전 요구

파일 암호화가 완료되면 ‘WannaCryptor’ 랜섬웨어는 암호화된 파일에 대하여 비트코인을 요구한다. 해당 랜섬웨어는 랜섬노트를 28개의 언어로 지불방법을 설명하고 있으며, 지불방법으로 $300를 비트코인으로 요구한다. 또한 주어진 시간이 지나면 복호화 비용을 두배 가격으로 올리거나 영구 삭제한다는 내용을 포함하고 있다.


[그림 11] 비트코인 요구 실행 파일[그림 11] 비트코인 요구 실행 파일



[그림 12] 텍스트 형식의 랜섬노트[그림 12] 텍스트 형식의 랜섬노트






5. 참고 공지 사항






6. 결론

이번에 전 세계적으로 발생한 ‘WannaCryptor’ 랜섬웨어 는 Windows 취약점을 악용하여 유포된다는 점에서 사용자PC의 Windows 업데이트가 얼마나 중요한지를 일깨워주는 사례로 기억 될 것으로 보인다. 여타 랜섬웨어들과는 다르게 웜의 성격을 보이는 유포 방식을 사용한다는 점에서 추가적으로 다른 악성코드와 결합된 새로운 형태의 악성코드가 발견되거나, SMB 취약점 업데이트를 미처 하지 못한 사용자들을 대상으로 한 다른 랜섬웨어의 공격이 발생할 여지가 있다. 그러므로 Microsoft에서 제공하는 Windows 보안 업데이트를 신속하게 진행 할 것을 요구한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 Windows 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며 워너크라이 랜섬웨어 취약점 점검툴인 nProtect WannaCry Checker를 통해 점검 및 임시 조치가 가능하다.


워너크라이 취약점 점검툴 nProtect WannaCry Checker 다운로드

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Venus Locker의 변종, LLTP Locker 감염 주의



1. 개요 


‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다.


지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다.


이번 보고서에서는 Venus Locker의 변종, ‘LLTP Locker’ 랜섬웨어에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

LLTP_Ransom.exe

파일크기

956,928 byte

진단명

Ransom/W32.LLTP.956928

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, P2P사이트, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘LLTP Locker’ 랜섬웨어가 실행되면 http://moniestealer.co.nf로 피해자의 PC이름, 사용자 계정, 그리고 식별자 문자열인‘LLTP2.4.0’을 전송한다.


[그림 1] 감염 시 패킷 전송[그림 1] 감염 시 패킷 전송



그 후 파일암호화를 진행하는데, LLPT 랜섬웨어의 경우, 특이 하게도 암호화 후에 원본 파일 확장명에 따라 두가지 형식의 새로운 확장자명으로 변경 한다. 

파일 암호화가 완료되면 사용자의 바탕화면은 아래와 같이 변경되고 .EXE와 .TXT 형태의 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면


[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드






3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 ‘2가지’ 확장자명 으로 암호화 한다. 

아래 [표 1] 에 해당하는 파일의 경우 암호화 후 확장자가 “.ENCRYPTED_BY_LLTP”로 변경된다. 

구분

내용

암호화 대상 파일

확장자

".txt",".ini",".php",".html",".css",".py",".c",".cxx",".aspx",".cpp",".cc",".h",".cs",             ".sln",

".log",".pl",".java",".doc",".dot",".docx",".docm",".dotx",".dotm",".rtf",".wpd",".docb",

".wps",".msg",".xls",".xlt",".xlm",".xlsx",".xlsm",".xltx",".xltm","xlsb",".xla",".xlam",

".xll",".xlw",".ppt",".pot",".pps",".pptx",".pptm",".potx",".potm",".ppam",".ppsx",

".ppsm",".sldx",".sldm",".class",".jar",".csv",             ".xml",".dwg",".dxf",".asp"

[표 1] 암호화 대상 파일 확장자


암호화 된 파일 확장자명이 ".ENCRYPTED_BY_LLTPp"으로 변경되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일

확장자

".asf",".pdf",".xls",".docx",".xlsx",".mp3",".waw",".jpg",".jpeg",".txt",".ost",".oab",

".jsp",".rtf",".doc",".rar",".zip",".psd",".tif",".wma",".gif",".bmp",".ppt",".pptx",".docm",

".xlsm",".pps",".ppsx",".ppd",".eps",".png",".ace",".djvu",".tar",".cdr",".max", ".wmv",

".avi",".wav",".mp4",".pdd",".php",".aac",".ac3",".amf",".amr",".dwg",".dxf",".accdb",

".mod",".tax2013",".tax2014",".oga",".ogg",".pbf",".ra",".raw",".saf",".val",".wave",

".wow",".wpk",".3g2",".3gp",".3gp2",".3mm",".amx",".rpt",".avs",".bik",".dir",".divx",

".dvx",".evo",".flv",".qtq",".tch",".rts",".rum",".rv",   ".scn",".srt",".stx",".svi",".swf",".trp",

".vdo",".wm",".wmd",".wmmp",".wmx",".wvx",".xvid",".3d",".3d4",".3df8",".pbs",

".adi",".ais",".amu",".arr",".bmc",".bmf",".cag",".cam",".dng",".ink",".ini",".jif",".jiff",

".jpc",".jpf",".jpw",".mag",".mic",".mip",".msp",".nav",".ncd",".odc",".odi",".opf",".qif",

".xwd",".abw",".act",".adt",".aim",".ans",".asc",".ase",".bdp",".bdr",".bib",".boc",".crd",

".diz",".dot",".dotm",".dotx",".dvi",".dxe",".mlx",".err",".euc",".faq",".fdr",".fds",".gthr",

".idx",".kwd",".lp2",".ltr",".man",".mbox",".msg",".nfo",".now",".odm",".oft",".pwi",

".rng",".rtx",".run",".ssa",".text",".unx",".wbk",".wsh",".7z",".arc",".ari",".arj",".car",".cbr",

".cbz",".gz",".gzig",".jgz",".pak",".pcv",".puz",".rev",".sdn",".sen",".sfs",".sfx",".sh",".shar",

".shr",".sqx",".tbz2",".tg",".tlz",".vsi",".wad",".war",".xpi",".z02",".z04",".zap",".zipx",

".zoo",".ipa",".isu",".jar",".js",".udf",".adr",".ap",".aro",".asa",".ascx",".ashx",".asmx",

".asp",".indd",".asr",".qbb",".bml",".cer",".cms",".crt",".dap",".htm",".moz",".svr",".url",

".wdgt",".abk",".bic",".big",".blp",".bsp",".cgf",".chk",".col",".cty",".dem",".elf",".ff",

".gam",".grf",".h3m",".h4r",".iwd",".ldb",".lgp",".lvl",".map",".md3",".mdl",".nds",

".pbp",".ppf",".pwf",".pxp",".sad",".sav",".scm",".scx",".sdt",".spr",".sud",".uax",".umx",

".unr",".uop",".usa",".usx",".ut2",".ut3",".utc",".utx",".uvx",".uxx",".vmf",".vtf",".w3g",

".w3x",".wtd",".wtf",".ccd",".cd",".cso",".disk",".dmg",".dvd",".fcd",".flp",".img",".isz",

".mdf",".mds",".nrg",".nri",".vcd",".vhd",".snp",".bkf",".ade",".adpb",".dic",".cch",".ctt",

".dal",".ddc",".ddcx",".dex",".dif",".dii",".itdb",".itl",”.kmz",".lcd",".lcf",".mbx",".mdn",

".odf",".odp",".ods",".pab",".pkb",".pkh",".pot",".potx",".pptm",".psa",".qdf",".qel",

".rgn",".rrt",".rsw",".rte",".sdb",".sdc",".sds",".sql",".stt",".tcx",".thmx",".txd",".txf",

".upoi",".vmt",".wks",".wmdb",".xl",".xlc",".xlr",".xlsb",".xltx",".ltm",".xlwx",".mcd",

".cap",".cc",".cod",".cp",".cpp",".cs",".csi",".dcp",".dcu",".dev",".dob",".dox",".dpk",

".dpl",".dpr",".dsk",".dsp",".eql",".ex",".f90",".fla",".for",".fpp",".jav",".java",".lbi",".owl",

".pl",".plc",".pli",".pm",".res",".rsrc",".so",".swd",".tpu",".tpx",".tu",".tur",".vc",".yab", 

".aip",".amxx",".ape",".api",".mxp",".oxt",".qpx",".qtr",".xla",".xlam",".xll",".xlv",".xpt",

".cfg",".cwf",".dbb",".slt",".bp2",".bp3",".bpl",".clr", ".dbx",".jc",".potm",".ppsm",

".prc",".prt",".shw",".std",".ver",".wpl",".xlm",".yps",".1cd",".bck",".html",".bak",".odt",

".pst",".log",".mpg",".mpeg",".odb",".wps",".xlk",".mdb",".dxg",".wpd",".wb2",".dbf",

".ai",".3fr",".arw",".srf",".sr2",".bay",".crw",".cr2",".dcr",".kdc",".erf",".mef",".mrw",".nef",

".nrw",".orf",".raf",".rwl",".rw2",".r3d",".ptx",".pef",".srw",".x3f",".der",".pem",".pfx",

".p12",".p7b",".p7c",".jfif",".exif",".docb",".xlt",".xltm",".xlw",".ppam",".sldx",".sldm",

".class",".db",".pdb",".dat",".csv",".xml",".spv",".grle",".sv5",".game",".slot",".aaf",".aep",

".aepx",".plb",".prel",".prproj",".eat",".ppj", ".indl",".indt",".indb",".inx",".idml",".pmd",

".xqx",".svg",".as3",".as"

[2] 암호화 대상 파일 확장자



해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA알고리즘을 사용하여 암호화 한다.

암호화 된 파일은 아래와 같은 형태가 되며, 바탕화면에 “LEAME.txt”, “RansomNote.exe”라는 랜섬노트가 생성된 것을 확인할 수 있다.


[그림 4] 암호화 된 파일과 랜섬노트[그림 4] 암호화 된 파일과 랜섬노트



'LLTP Locker'랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 

구분

내용

예외 대상 목록의

경로

"Program Files","Program Files (x86)","Windows","Python27","Python34",

"AliWangWang",  "Avira","wamp",  "Avira","360","ATI","Google","Intel",

"Internet Explorer","Kaspersky Lab","Microsoft Bing Pinyin","Microsoft Chart Controls",

"Microsoft Games","Microsoft Office","Microsoft.NET","MicrosoftBAF","MSBuild",

"QQMailPlugin","Realtek","Skype","Reference Assemblies","Tencent", "USB Camera2",

"WinRAR","Windows Sidebar","Windows Portable Devices","Windows Photo Viewer",

"Windows NT","Windows Media Player","Windows Mail","NVIDIA Corporation",

"Adobe","IObit","AVAST Software","CCleaner","AVG","Mozilla Firefox","VirtualDJ",

"TeamViewer","ICQ","java","Yahoo!"

[3] 예외 대상 경로




3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC의 볼륨 쉐도우 복사본이 제거된다.


[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제




3-3. 금전 요구

파일 암호화가 완료되면 'LLTP Locker'랜섬웨어는 암호화된 파일에 대하여 금전을 요구한다. 해당 랜섬웨어는 랜섬노트를 3가지 형식의 포멧으로 사용자에게 지불방법을 설명한다.

변경된 바탕화면과 바탕화면에 생성 된 “LEAME.txt” 는 영문으로, “RansomeNote.exe”는 스페인어로 사용자에게 비트코인 지불 방법을 안내한다.


[그림 6] 스페인어로 작성되어진 랜섬노트[그림 6] 스페인어로 작성되어진 랜섬노트


[그림 7] 영문 랜섬노트[그림 7] 영문 랜섬노트




3-4. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 .exe포멧의 랜섬노트를 띄워 사용자에게 감염되었다는 것을 계속 인지하도록 유도 한다.


[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가



그리고 바탕화면을 변경하기 위해서 아래 그림과 같이 Wallpaper의 값을 해당 이미지 경로로 변경한다.


[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가



4. 결론

‘LLTP Locker’에 대해서는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 여타 랜섬웨어와 같이 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 그 피해가 커질 것으로 예상된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의



1. 개요 


‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.

CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.

이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

revenge.exe

파일크기

116,224 byte

진단명

Ransom/W32.Revenge.116224

악성동작

파일 암호화

해쉬(MD5)

3BCEADD4C2C546ABA24E24307F1DEFCD

 



2-2. 유포 경로

웹브라우저의 취약점을 공격하는 ‘RIG Exploit Kit’을 이용하여 웹을 통해 유포된다.



2-3. 실행 과정

해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 확장자를 REVENGE 로 변경한다. 파일 암호화 시 사용 된 AES 암호화 키는 다시 한번 RSA-1024 방식으로 암호화 된다. 또한 관리자 권한으로 실행하기 위해서 ‘Windows Defender’ 가짜 메시지를 출력하여, 사용자의 클릭을 유도해 권한을 상승한다. 파일 암호화 이후 아래 그림과 같은 .txt 포맷의 랜섬노트를 띄운다.

랜섬노트에는 ‘Revenge’ 랜섬웨어 복호화를 안내하는 내용이 있으며, 결제를 위한 메일 주소를 포함하고 있다.


[그림1] 랜섬노트[그림1] 랜섬노트




WMI Commandline Utility를 이용하여 원본악성코드를 호출한다. 권한 상승을 유도하기 위해서 ‘Windows Defender’에서 출력된 메시지처럼 사용자의 [계속] 버튼을 클릭하도록 만든다.


[그림2] 암호화 진행 중 첫번째 팝업 출력[그림2] 암호화 진행 중 첫번째 팝업 출력




‘Windows Defender’ 가짜 메시지 창의 [계속] 버튼을 사용자가 클릭하게 되면 아래와 같이 사용자 계정 컨트롤 팝업창을 허용할지 묻는다. 만약 [아니오]를 누르면 해당 메시지 창은 계속해서 발생된다.


[그림3] 암호화 진행 중 두번째 팝업 출력[그림3] 암호화 진행 중 두번째 팝업 출력




관리자 권한으로 실행할지 여부를 묻는 팝업창에서 허용 하게 되면 원본악성코드를 관리자 권한으로 실행 한다. 이러한 과정은 PC사용자를 Windows defender에서 실행하는 과정으로 보이도록 유도한다.


[그림4] 암호화 진행 중 세번째 팝업 출력[그림4] 암호화 진행 중 세번째 팝업 출력




해당 랜섬웨어는 [그림5]와 같이 .REVENGE의 문자로 확장자를 바꾼다. 그리고 대상 폴더 마다 “# !!!HELP_FILE!!!#.TXT” 라는 랜섬노트를 생성한다.


[그림5] 암호화 된 파일[그림5] 암호화 된 파일





3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.


[그림 6] 암호화 대상 파일 확장자 일부 내용[그림 6] 암호화 대상 파일 확장자 일부 내용




해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 파일의 확장자를 .REVENGE 로 변경한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA-1024 공개 키를 사용하여 암호화 한다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command Line과 같은 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림7] 쉐도우 파일 삭제[그림7] 쉐도우 파일 삭제






4. 결론

최근 ‘Revenge’ 랜섬웨어와 같이 한국인 사용자도 함께 겨냥한 랜섬웨어들이 지속적으로 등장하고 있다. 이에 대비하여 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 JavaScript(JScript)를 이용한 RAA 랜섬웨어 



 

 

1. 개요

JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 


잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

RAA.js

파일크기

758,931 Byte

진단명

Script-VBS/W32.RAA

악성동작

파일 암호화를 통한 Bit-coin 요구






 



2-2. 유포 경로

RAA 랜섬웨어는 워드파일로 위장한 .js 파일을 이메일을 통해 유포되는 것으로 일반적으로 알려져 있다. 하지만 유포방식 및 공격방식은 추후 다른 방법으로 변경될 가능성이 있다.





2-3. 실행 과정

해당 악성파일은 JavaScript 파일(.js 파일)이지만 Windows 운영체제에서 실행이 가능하다. Script로 작성된 파일은Windows에서 지원하는 WSH(Windows Scripting Host) 기술을 통해 동작한다. RAA 랜섬웨어가 실행 되면 가장 먼저 가짜 워드 파일을 출력시켜 사용자의 주의를 돌리고 그 사이 암호화를 수행한다. 암호화가 끝난 뒤 RAA는 또 다른 정보탈취형 악성코드를 생성하고 실행한다.


[그림 1] 사용자의 주의를 돌리기 위한 가짜 문서 및 해당 내용





3. 악성 동작

3-1. 시작 프로그램 등록 및 VSS 삭제

RAA 는 동작하고 있는 wscript.exe 프로세스 수와 이전의 RAA 랜섬웨어가 암호화를 끝내고 설정한 “Raa-fnl” 레지스트리 값을 읽어 들여 RAA 랜섬웨어가 중복 실행됐는지 확인한다. 처음 실행이라면 현재 스크립트 파일이름을 Run 레지스트리 하위 값으로 설정한다. 또한 Windows 의 백업기능인 VSS(Volume Snapshot Service) 관련 정보를 삭제하고 실제 암호화 루틴을 수행한다.



[그림 2] JS 파일을 Run 레지스트리에 등록

 



[그림 3] 제거 된 VSS 관련 레지스트리 값




3-2. 암호화

RAA 랜섬웨어는 중복 실행됐는지 확인하고 처음 동작이라면 새 GUID 를 생성하여 감염된 사용자의 식별 아이디로 삼는다. 또한, 생성한 GUID 값을 특정 서버로 보내 응답 받은 값으로 실제 암호화에 쓰일 키를 생성한다.


[그림 4] GUID 값 생성 및 읽기


[그림 5] 생성 된 사용자 고유 ID (GUID 값)




암호화 대상이 되는 파일 확장자는 [표 1]과 같으며, 총 16개의 종류가 대상이다. [표 2]와 같은 폴더의 하위 파일은 암호화를 수행하지 않는다.


 

.doc .xls .rtf .pdf .dbf .jpg .dwg .cdr .psd.cd .mdb .png .lcd .zip .rar .csv

[표 1] 암호화 대상 파일 확장자



WINDOWS, RECYCLER, Program Files, Program Files (x86), Windows, Recycle.Bin, RECYCLE.BIN, Recycler, TEMP, APPDATA, AppData, Temp, ProgramData, Microsoft

[표 2] 암호화 대상에 들어가지 않는 폴더명





RAA 에서는 파일을 암호화 하기 위해 CryptoJS 라이브러리의 AES 암호화 방식을 사용한다. 파일은 크기에 따라 총 3가지 다른 방식으로 암호화 하며, 크기가 약 476MB 이상인 파일에 대해서는 암호화 하지 않는다. 암호화가 끝난 파일에 대해서는 “.locked” 확장자를 붙이며 암호화된 파일은 현재까지 복구가 불가능 하다.



[그림 6] 실제 데이터를 암호화하는 부분





모든 암호화를 끝낸 뒤 wordpad.exe 를 통해 랜섬웨어에 대한 안내문을 출력하고, “Raa-fnl” 레지스트리에 “beenFinished” 라는 값을 설정한다. 이 값은 RAA 가 시작할 때 검사하는 값으로 이미 동작 완료한 PC에서 다시 동작하지 않도록 한다.


[그림 7] 랜섬웨어 감염 안내 및 금전 요구 화면




[그림 8] 암호화가 끝난 뒤 설정하는 값과 안내문을 출력하는 코드



3-2. 추가 악성코드 실행

해당 랜섬웨어는 인포-스틸러(정보탈취 악성코드)를 추가적으로 드랍하고 실행시킨다. st.exe 라는 이름으로 드랍되는 이 악성코드는 PC 에 저장 된 FTP, 비트코인 지갑, 공유 드라이브, 웹 로그인 등의 계정정보를 조회하여 공격자에게 전송한다. 분석시점에서는 원격지에 연결이 되지 않고 있다.






4. 결론

Javascript를 이용한 랜섬웨어는 Ransom32 악성코드가 최초인 것으로 알려져 있어 RAA 랜섬웨어를 완전히 새로운 형태의 랜섬웨어로 보긴 어렵다. 


하지만, 일반 악성코드는 스크립트 파일이 부수적인 역할을 해왔던 반면, 이와 다르게 RAA 랜섬웨어는 Javascript로 단독 실행된다는 점에서 주의깊게 볼 필요가 있다. 또한, 파일 암호화 악성동작 외에도 사용자 계정정보를 탈취하는 악성코드를 추가 실행시키므로 2차 피해를 입기 쉽다. 


RAA 랜섬웨어는 감염 안내문을 볼 때 타깃이 러시아일 것으로 추정된다. 하지만, 비슷한 형태의 변종이 언제든지 국내에 유입될 수 있기 때문에 안심해서는 안된다.


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한, nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-검사 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 11] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

80.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


1.1. 유포경로


랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.


80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.



[그림] 메일을 통해 유포된 랜섬웨어 80.exe






1.2. 80.exe


이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.


임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.






1.3. kgbbpacroic.exe


80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.



[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : Acrndtd (고정)

값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe”

                                                                  (랜덤한 11자 문자)

[] 자동 실행 레지스트리






이후 실행된 PC 의 루트 디렉토리(C:\, D:\ )에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브  내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.


암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.



.avi .m3u .mov .mp4 .wma .wmv

오디오 및 비디오 파일

.crw .jpe .jpeg .jpg .png

이미지 파일

.ai .psd

포토샵 파일

.css .js .py

소스 파일

.csv .doc .docx .pdf .ppt .pptx

.rtf .txt .wpd .wps .xls .xlsx

문서 파일

.pak .rar .zip

압축파일

.bkf

MS 백업파일

.cer

인증서 파일

.cdr

코렐 드로우 파일

.cer

보안 인증서

.dbf

dBase 파일

.dcr

쇽웨이브 파일

.dmp

화면이나 메모리의 덤프 파일

.dwg

오토캐드 파일

.eps

캡슐화된 포스트스크립트 이미지

.gdb

영산정보통신 GVA GVA2000, 압축된 강의 파일

.indd

Adobe, Indesign

.mdb

마이크로소프트 액세스 데이터베이스

.mdf

마이크로소프트, MS-SQL Master 데이터베이스 파일

.pic

PC Paint 비트맵

.pst

마이크로소프트 아웃룩, 개인 폴더 파일

.raw

Raw File Format (비트맵)

.sav

저장된 게임 파일 (일반 명칭)

.svg

W3C, 스케일러블 벡터 그래픽스 파일

(인터넷 멀티미디어 파일 교환용)

.vcf

넷스케이프, 가상 카드 파일

.mcmeta .lvl

게임 관련 파일

[] 암호화 대상 확장자

 


암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.




  [그림] 원본 파일() 과 암호화 된 파일 ()

 



[그림] 원본 파일() 과 암호화 된 파일()

 

 




암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.




[그림] 랜섬웨어 감염 안내문






2. 결론


80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect