피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

 JavaScript(JScript)를 이용한 RAA 랜섬웨어 



 

 

1. 개요

JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 


잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

RAA.js

파일크기

758,931 Byte

진단명

Script-VBS/W32.RAA

악성동작

파일 암호화를 통한 Bit-coin 요구






 



2-2. 유포 경로

RAA 랜섬웨어는 워드파일로 위장한 .js 파일을 이메일을 통해 유포되는 것으로 일반적으로 알려져 있다. 하지만 유포방식 및 공격방식은 추후 다른 방법으로 변경될 가능성이 있다.





2-3. 실행 과정

해당 악성파일은 JavaScript 파일(.js 파일)이지만 Windows 운영체제에서 실행이 가능하다. Script로 작성된 파일은Windows에서 지원하는 WSH(Windows Scripting Host) 기술을 통해 동작한다. RAA 랜섬웨어가 실행 되면 가장 먼저 가짜 워드 파일을 출력시켜 사용자의 주의를 돌리고 그 사이 암호화를 수행한다. 암호화가 끝난 뒤 RAA는 또 다른 정보탈취형 악성코드를 생성하고 실행한다.


[그림 1] 사용자의 주의를 돌리기 위한 가짜 문서 및 해당 내용





3. 악성 동작

3-1. 시작 프로그램 등록 및 VSS 삭제

RAA 는 동작하고 있는 wscript.exe 프로세스 수와 이전의 RAA 랜섬웨어가 암호화를 끝내고 설정한 “Raa-fnl” 레지스트리 값을 읽어 들여 RAA 랜섬웨어가 중복 실행됐는지 확인한다. 처음 실행이라면 현재 스크립트 파일이름을 Run 레지스트리 하위 값으로 설정한다. 또한 Windows 의 백업기능인 VSS(Volume Snapshot Service) 관련 정보를 삭제하고 실제 암호화 루틴을 수행한다.



[그림 2] JS 파일을 Run 레지스트리에 등록

 



[그림 3] 제거 된 VSS 관련 레지스트리 값




3-2. 암호화

RAA 랜섬웨어는 중복 실행됐는지 확인하고 처음 동작이라면 새 GUID 를 생성하여 감염된 사용자의 식별 아이디로 삼는다. 또한, 생성한 GUID 값을 특정 서버로 보내 응답 받은 값으로 실제 암호화에 쓰일 키를 생성한다.


[그림 4] GUID 값 생성 및 읽기


[그림 5] 생성 된 사용자 고유 ID (GUID 값)




암호화 대상이 되는 파일 확장자는 [표 1]과 같으며, 총 16개의 종류가 대상이다. [표 2]와 같은 폴더의 하위 파일은 암호화를 수행하지 않는다.


 

.doc .xls .rtf .pdf .dbf .jpg .dwg .cdr .psd.cd .mdb .png .lcd .zip .rar .csv

[표 1] 암호화 대상 파일 확장자



WINDOWS, RECYCLER, Program Files, Program Files (x86), Windows, Recycle.Bin, RECYCLE.BIN, Recycler, TEMP, APPDATA, AppData, Temp, ProgramData, Microsoft

[표 2] 암호화 대상에 들어가지 않는 폴더명





RAA 에서는 파일을 암호화 하기 위해 CryptoJS 라이브러리의 AES 암호화 방식을 사용한다. 파일은 크기에 따라 총 3가지 다른 방식으로 암호화 하며, 크기가 약 476MB 이상인 파일에 대해서는 암호화 하지 않는다. 암호화가 끝난 파일에 대해서는 “.locked” 확장자를 붙이며 암호화된 파일은 현재까지 복구가 불가능 하다.



[그림 6] 실제 데이터를 암호화하는 부분





모든 암호화를 끝낸 뒤 wordpad.exe 를 통해 랜섬웨어에 대한 안내문을 출력하고, “Raa-fnl” 레지스트리에 “beenFinished” 라는 값을 설정한다. 이 값은 RAA 가 시작할 때 검사하는 값으로 이미 동작 완료한 PC에서 다시 동작하지 않도록 한다.


[그림 7] 랜섬웨어 감염 안내 및 금전 요구 화면




[그림 8] 암호화가 끝난 뒤 설정하는 값과 안내문을 출력하는 코드



3-2. 추가 악성코드 실행

해당 랜섬웨어는 인포-스틸러(정보탈취 악성코드)를 추가적으로 드랍하고 실행시킨다. st.exe 라는 이름으로 드랍되는 이 악성코드는 PC 에 저장 된 FTP, 비트코인 지갑, 공유 드라이브, 웹 로그인 등의 계정정보를 조회하여 공격자에게 전송한다. 분석시점에서는 원격지에 연결이 되지 않고 있다.






4. 결론

Javascript를 이용한 랜섬웨어는 Ransom32 악성코드가 최초인 것으로 알려져 있어 RAA 랜섬웨어를 완전히 새로운 형태의 랜섬웨어로 보긴 어렵다. 


하지만, 일반 악성코드는 스크립트 파일이 부수적인 역할을 해왔던 반면, 이와 다르게 RAA 랜섬웨어는 Javascript로 단독 실행된다는 점에서 주의깊게 볼 필요가 있다. 또한, 파일 암호화 악성동작 외에도 사용자 계정정보를 탈취하는 악성코드를 추가 실행시키므로 2차 피해를 입기 쉽다. 


RAA 랜섬웨어는 감염 안내문을 볼 때 타깃이 러시아일 것으로 추정된다. 하지만, 비슷한 형태의 변종이 언제든지 국내에 유입될 수 있기 때문에 안심해서는 안된다.


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한, nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-검사 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 11] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

80.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


1.1. 유포경로


랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.


80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.



[그림] 메일을 통해 유포된 랜섬웨어 80.exe






1.2. 80.exe


이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.


임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.






1.3. kgbbpacroic.exe


80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.



[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : Acrndtd (고정)

값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe”

                                                                  (랜덤한 11자 문자)

[] 자동 실행 레지스트리






이후 실행된 PC 의 루트 디렉토리(C:\, D:\ )에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브  내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.


암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.



.avi .m3u .mov .mp4 .wma .wmv

오디오 및 비디오 파일

.crw .jpe .jpeg .jpg .png

이미지 파일

.ai .psd

포토샵 파일

.css .js .py

소스 파일

.csv .doc .docx .pdf .ppt .pptx

.rtf .txt .wpd .wps .xls .xlsx

문서 파일

.pak .rar .zip

압축파일

.bkf

MS 백업파일

.cer

인증서 파일

.cdr

코렐 드로우 파일

.cer

보안 인증서

.dbf

dBase 파일

.dcr

쇽웨이브 파일

.dmp

화면이나 메모리의 덤프 파일

.dwg

오토캐드 파일

.eps

캡슐화된 포스트스크립트 이미지

.gdb

영산정보통신 GVA GVA2000, 압축된 강의 파일

.indd

Adobe, Indesign

.mdb

마이크로소프트 액세스 데이터베이스

.mdf

마이크로소프트, MS-SQL Master 데이터베이스 파일

.pic

PC Paint 비트맵

.pst

마이크로소프트 아웃룩, 개인 폴더 파일

.raw

Raw File Format (비트맵)

.sav

저장된 게임 파일 (일반 명칭)

.svg

W3C, 스케일러블 벡터 그래픽스 파일

(인터넷 멀티미디어 파일 교환용)

.vcf

넷스케이프, 가상 카드 파일

.mcmeta .lvl

게임 관련 파일

[] 암호화 대상 확장자

 


암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.




  [그림] 원본 파일() 과 암호화 된 파일 ()

 



[그림] 원본 파일() 과 암호화 된 파일()

 

 




암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.




[그림] 랜섬웨어 감염 안내문






2. 결론


80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

111.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다.


111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다.



[그림] 감염 전 후 파일비교





모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, 바탕화면에도 복호화 방법을 설명하는 HOWTO_RESTORE_FILES.bmp 2개 파일을 생성한다. 또한 배경화면을 동일 파일로 교체하여 사용자의 PC가 랜섬웨어에 감염되었음을 알린다.



[] 감염된 PC 배경화면





설명 파일에는 이 랜섬웨어가 사용한 암호화 방식(RSA2048)과 복호화 하기 위해 따라야 할 방법이 명시되어있다. 설명 파일이 제공하는 복호화 페이지에 접속하면 아래와 같은 화면을 확인할 수 있고, 복호화를 위해 500 USD를 비트코인으로 제공할 것을 요구한다. 웹 페이지에서는 512 kbyte이하의 한 개 파일에 한해 무료 복호화를 제공하고 있다


테스트결과 암호화 된 파일을 정상적으로 복호화 해지만 이 결과는 돈만 지불하면 암호화된 파일을 정상으로 복구할 수 있음을 의미하진 않는다.



[그림] 복호화 웹페이지





111.exe는 여러 과정을 거쳐 자신을 C:\Documents and Settings\I Am Buster \Application Data 하위에 ytynd-a.exe(“임의의5자리문자열”+”–a.exe”)로 복사한 후 이 복사본으로 악성동작을 수행한다.


악성 동작에는 파일 암호화 외에도 윈도우 정상프로세스 vssadmin.exe를 사용하여 PC 백업 이미지를 삭제하고, ‘작업 관리자’, ‘레지스트리 관리도구등 각종 윈도우 정상 프로세스의 실행을 방해하는 동작이 있다.



[그림] 정상 프로세스 실행 방해





100개이상의 확장자에 대해 암호화를 수행한다. 암호화의 대상이 되는 주요 확장자는 아래와 같다. , 파일 크기가 327 Mbyte이상일 경우 암호화 하지 않는다.



확장자

설명

zip, 7z, rar …

압축 파일

doc, docx, ppt, pptx, xls, xlsx …

오피스 파일

sql, py, c, js …

프로그램 언어 파일

svg, psd, jpg, jpeg, dwg, ai, wma, wmv, flv, avi, mov, mp4 …

미디어 파일

txt, rtf, pdf …

문서 파일

raw, sav, csv, apk, blob, css, html, gho, map, wb2, w3x, xxx …

기타

[] 암호화 대상 확장자




[그림] 암호화 조건





111.exe는 암호화 된 파일에 .ecc 확장자를 붙이는 랜섬웨어 TeslaCrypt 의 변종으로 보인다. TeslaCrypt는 감염 PC내에 key.dat란 파일에 복호화에 필요한 키를 저장해 두고 있어 복호화가 가능한 랜섬웨어로 알려져 있으나, .ccc 확장자를 사용하는 111.exe는 복호화에 필요한 키를 PC에 따로 저장하지 않는다.






2. 결론


일반적으로 랜섬웨어에 감염되었을 시 암호화된 파일을 복구하는 방법은 존재하지 않는다. 감염 시 돈을 지불하면 파일 복구가 가능해 보이지만 100% 복구된다고 보기도 힘들다파일의 복구방법이 없는 만큼, 하나의 PC에 모든 자료를 저장하는 행위는 랜섬웨어에 감염되었을 때 돌이킬 수 없는 피해를 입게 된다


암호화된 파일을 복구하기 힘들기 때문에 사전에 이를 방지하는 것이 중요하다. 일차적으로 불명확한 사이트 방문과 파일 다운로드를 삼가야 하며, 감염 시 피해를 최소화하기 위해 중요 PC의 망 분리 및 핵심 자료들을 독립된 저장매체에 주기적으로 백업해야 한다. 


추가적으로 안티바이러스 제품을 설치 및 실행하며 주기적으로 업데이트 해 줘야한다. nProtect Anti-Virus/Spyware V3.0과 nProtecct Anti-Virus/Spyware V4.0의 실시간 감시 기능이 동작중이면 111.exe 악성코드를 감지하고 치료하기 때문에 사전에 피해를 막을 수 있다. 



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect