특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

Paradise 랜섬웨어 주의


1. 개요 


다양한 악성코드 중에서도 랜섬웨어의 경우, 하나의 코드에서 파생되어 다양한 변종들이 생성됐을 만큼 많은 비중을 차지하고 있다.


과거에도 사용자의 파일을 사용하지 못하게 만드는 악성코드는 다수 존재했지만, 거래내역을 추적 당할 위험이 높아 쉽게 금전을 요구하지 못했을 것으로 추측된다. 


최근 몇 년 사이에 가상화폐나 Tor-브라우저 등의 거래 추적이 어렵다는 특징을 악용한 사이버 범죄가 기승을 부리고 있다. 이러한 문제가 해결되기 전까지 랜섬웨어와 같은 악성코드도 끊임없이 등장할 것이다.


이번 보고서에서는 사용자의 파일을 암호화 하는 'Paradise 랜섬웨어' 에 대해서 알아보자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DP_Main.exe

파일크기

36,864 byte

악성동작

파일 암호화






2-2. 유포 경로

'Paradise ransomware' 의 정확한 유포 경로는 밝혀지지 않았으나, 스팸메일의 첨부파일을 통해서 유포되었을 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시 자신의 복사본을 생성하여 자동시작되도록 등록한다. 

암호화를 하기 전에 커맨드 프롬프트를 이용하여 특정 인자 값을 통해서 볼륨 쉐도우 서비스를 사용하지 못하도록 한다.


이후 드라이브 하위에서 폴더들을 검색하여 공격자가 지정해 놓은 특정 폴더들에 대해서는 암호화를 진행하지 않으며, 그 외에 폴더를 발견할 경우 폴더 내의 파일들을 탐색하여 모든 파일을 암호화 한다.


암호화 완료 후 암호화한 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 특정 서버로 보내려는 코드가 존재한다.


위와 같은 모든 동작이 끝난 뒤, 해당 랜섬웨어는 암호화 동작을 할 때 생성했던 랜섬노트를 실행시켜 아래 [그림 1] 과 같이 암호화 사실을 알리고 복호화 방법에 대해 설명한다.


[그림 1] 랜섬노트







3. 악성 동작


3-1. 자동 시작 등록

악성 파일은 자기 자신을 복사하여 [그림 2] 와 같은 경로에 생성하고, 어떤 상황이 발생하더라도 재감염 시킬 수 있도록 자동시작 레지스트리값에 복사본을 등록하여 윈도우 재부팅 시에도 동작할 수 있도록 한다.


[그림 2] 복사본 생성[그림 2] 복사본 생성




[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록






3-2. 볼륨 쉐도우 삭제

암호화를 진행하기 전, 사용자가 복원 기능을 수행하지 못하게 하도록 Volume Shadow Copy Service (VSS) 를 삭제한다.


[그림 4] 복원 서비스 삭제[그림 4] 복원 서비스 삭제





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 탐색 중인 드라이브 하위에서 아래와 같이 공격자가 지정해 놓은 특정 폴더를 제외하고 모든 파일을 암호화한다.


[그림 5] 제외 폴더 목록[그림 5] 제외 폴더 목록




암호화를 끝마친 파일의 경우 아래와 같은 형태로 [원본파일명] + [ID] + [이메일주소].paradise 로 파일명을 변경하여 저장된다.


[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일






3-4. 정보 전송

모든 작업을 끝마친 랜섬웨어는 지정한 서버로 암호화 시킨 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 전송하는 코드가 존재하지만 지정해둔 특정 서버가 localhost 로 설정되어 있어 정보가 전송되지 않는다.

현재는 사용하지 않는 기능이거나 프로그램을 제작하는데 있어서 잘못 제작된 것으로 추정해볼 수 있다.


[그림 7] 정보 전송 코드[그림 7] 정보 전송 코드







4. 결론

이번 보고서에서 알아본 'Paradise Ransomware' 는 다른 랜섬웨어들에 비해서 많은 피해 사례가 발생하지는 않았지만 사용자의 PC 에 있는 파일들을 암호화 하기 때문에 가볍게 생각할 수 없다. 

대부분의 랜섬웨어의 경우, 복호화가 거의 불가능하기 때문에 크게 이슈가 되지 않은 랜섬웨어라도 사용자의 각별한 주의가 필요하다.

신뢰할 수 없는 사이트에서 다운받는 파일이나 메일의 첨부파일 등을 실행할 때 주의를 기울이고 사용하는 백신이나 OS 를 항상 최신버전으로 업데이트 하여 사용해야 한다.

nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화 하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON

Zenis 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다.


이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

iis_agent32.exe

파일크기

147,968byte

악성동작

파일 암호화






2-2. 동작 방식

제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일치해야 하고 동시에 레지스트리 값 HKEY_CURRENT_USER\SOFTWARE\ZenisService\Active가 존재하지 않아야 한다. 이는 중복 실행이나 중복 암호화로 인한 문제를 방지하기 위한 것으로 보인다. 아래 그림은 해당 조건을 확인하는 코드이다.


[그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인 [그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인






3. 악성 동작


3-1. 시스템 복원 무력화 및 로그 삭제

위 조건에 충족하여 정상적으로 동작을 수행하게 되면 랜섬노트에 사용할 문구에 연락 이메일 주소를 삽입하여 내용을 완성시킨다. 이후 ‘cmd.exe’를 통해 아래 [표1]과 같은 명령어를 실행시키는데 이는 시스템 복원을 무력화하고 이벤트 로그를 삭제하는 기능을 수행한다.


[그림 2] 랜섬노트 문구를 완성시키는 코드[그림 2] 랜섬노트 문구를 완성시키는 코드


 

명령어

기능

 

vssadmin.exe delete shadows /all /Quiet

볼륨 쉐도우 복사본 삭제

 

WMIC.exe shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

Bcdedit.exe /set {default} recoveryenabled no

복구 모드 사용 안함

 

wevtutil.exe cl Application

응용 프로그램 이벤트 로그 삭제

 

wevtutil.exe cl Security

보안 이벤트 로그 삭제

 

wevtutil.exe cl System

시스템 이벤트 로그 삭제

[표 1] 명령어를 통한 시스템 복원 무력화 및 이벤트 로그 삭제





3-2. 프로세스 종료

현재 시스템상의 프로세스 이름을 대상으로 아래와 같은 지정된 문자열이 포함되거나 일치할 경우 프로세스를 강제로    종료시킨다.


 

구분

내용

대상 문자열

sql

taskmgr

regedit

backup

[2] 강제 종료 대상의 문자열 목록




3-3. 파일 암호화 및 삭제

이후 지정된 확장자 파일을 대상으로 암호화나 삭제를 진행하는데 파일의 크기가 1024byte 이상이면서 1024000000byte 이하인 파일을 대상으로 한다. 암호화된 파일의 이름은 ‘Zenis-[2byte의 임의의 값].[12byte의 임의의 값]’으로 변경되고 파일 삭제 시 3번의 덮어쓰기 과정을 거쳐 삭제하기 때문에 파일 복원을 어렵게 한다. 

 

구분

내용

암호화 대상 확장자

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa.apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

[표 3] 암호화 대상 확장자 목록




[그림 3] 암호화된 파일[그림 3] 암호화된 파일




 

구분

내용

삭제 대상 확장자

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

[표 4] 삭제 대상 확장자 목록




또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

Windows, Program Files, ProgramData, PerfLogs, $Recycle.Bin, Microsoft, Microsoft Help, Microsoft App, Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone, Silverlight Kits, Temp, Windows Photo Viewer, Windows Protable Devices, Windows Slidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, Public

[표 5] 화이트 리스트 폴더 문자열




암호화된 폴더에는 ‘Zenis-Instructions.html’라는 이름으로 아래와 같은 랜섬노트를 하나씩 생성한다.


[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용






4. 결론

이번 제니스 랜섬웨어는 파일 암호화뿐만 아니라 특정 확장자 파일을 삭제함으로써 파일 복구에 어려움을 주고 있다.    랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 









Posted by nProtect & TACHYON

다시 돌아온 GandCrab Ransomware 감염 주의


1. 개요 


'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.

해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다.


하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다.


이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

137,220 byte

진단명

Ransom/W32.GandCrab.137220

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정된다.






2-3. 실행 과정

'GandCrab Ransomware V2.0' 원본파일을 실행하면 특정 프로세스를 탐색하여 종료하고, 사용자 정보와 함께 사용중인 보안프로세스 정보까지 수집하여 정보를 전송한다.

정보 전송 이후 파일 암호화를 수행 하기 위해 공격자가 지정해 둔 폴더 목록, 파일명, 확장자를 제외하고 모든 파일에 대한 암호화를 진행한다.

또한, 암호화 된 폴더에 'CRAB-DECRYPT.txt' 라는 이름의 랜섬노트를 생성하여 파일 복호화 방법에 대해서 설명한다.


[그림 1] 랜섬노트[그림 1] 랜섬노트







3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 아래와 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 수행하기 위해 쓰기 권한을 안전하게 얻으려는 동작으로 보여진다. 


구분

내용

종료 대상 프로세스 목록

msftesql.exe,  sqlagent.exe,  sqlbrowser.exe,  sqlservr.exe,  sqlwriter.exe,  oracle.exe,  ocssd.exe,  dbsnmp.exe,  synctime.exe,  mydesktopqos.exe,  agntsvc.exe,  isqlplussvc.exe,  xfssvccon.exe,  mydesktopservice.exe,  ocautoupds.exe,  agntsvc.exe,  agntsvc.exe,  agntsvc.exe,  encsvc.exe,  firefoxconfig.exe,  tbirdconfig.exe,  ocomm.exe,  mysqld.exe,  mysqld-nt.exe,  mysqld-opt.exe,  dbeng50.exe,  sqbcoreservice.exe,  excel.exe,  infopath.exe,  msaccess.exe,  mspub.exe,  onenote.exe,  outlook.exe,  powerpnt.exe,  steam.exe,  thebat.exe,  thebat64.exe,  thunderbird.exe,  visio.exe,  winword.exe,  wordpad.exe

[1] 종료 프로세스 목록






3-2. 사용자 정보 탈취

해당 랜섬웨어는 파일 암호화 동작 뿐만 아니라 아래와 같이 사용자의 정보 들을 수집한다. 


구분

내용

수집 정보 목록

pc_user=***********

pc_name=***********

pc_group=WORKGROUP&

av=smcexe&

pc_lang=ko-KR&

pc_keyb=0&

os_major=Windows 7 Home Basic&

os_bit=x86&

ransom_id=***********

hdd=C:FIXED_64422408192/9403342848&

id=2&

subid=2&

[2] 수집 정보 목록



또한, [표 3] 에 작성되어 있는 프로세스가 존재하면 해당 정보도 함께 수집하도록 한다. 


구분

내용

프로세스 리스트

AVP.EXE,  ekrn.exe,  avgnt.exe,  ashDisp.exe,  NortonAntiBot.exe,  Mcshield.exe,  avengine.exe,  cmdagent.exe,  smc.exe,  persfw.exe,  pccpfw.exe,  fsguiexe.exe,  cfp.exe,  msmpeng.exe

[3] 수집 대상 프로세스 목록




필요한 정보 수집이 완료되면 인코딩 과정을 거쳐 공격자의 서버로 전송된다.


[그림 2] 정보 전송 패킷[그림 2] 정보 전송 패킷





3-3. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명과 파일에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani   .cab   .cpl   .cur

.diagcab   .diagpkg   .dll

.drv   .hlp   .icl   .icns

.ico   .ics   .lnk   .key

.idx   .mod   .mpa   .msc

.msp   .msstyles   .msu

.nomedia   .ocx   .prf

.rom   .rtp   .scr   .shs

.spl   .sys   .theme

.themepack   .exe   .bat

.cmd   .CRAB   .crab

.GDCB   .gdcb   .gandcrab

.yassine_lemmou

[4] 화이트 리스트 목록



'GandCrab Ransomware' 는 암호화가 완료되면 원본 파일명에 '.CRAB' 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일






4. 결론

'GandCrab Ransomware' 는 감염을 보다 성공적으로 하기 위해서 유포 방식을 변경하고 있는 것으로 추정된다. 

버전업이 되어 다시 돌아온 만큼, 향후 ’WannaCry’ 나 ‘BadRabbit’ 과 같이 네트워크를 통하여 유포될 가능성도 존재하기 때문에 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정


1. 개요 


최근 랜섬웨어에 대한 피해 사례가 끊임없이 발생되고 있는 가운데, 새로운 랜섬웨어에 대한 내용보다 변종과 관련된 내용이 다수 차지하고 있다.


이는 여러가지 이유가 있겠지만, 그 중에 일부는 자동화 된 도구나 공개된 오픈 소스를 활용하기 때문인 것으로 추측된다.


이번에 발견 된 ‘Hermes’ 랜섬웨어도 지속적으로 업그레이드 되거나 변종이 계속해서 발견되고 있는데 최근 ‘Sundown Exploit Kit’ 을 통해 웹 서핑 도중 감염되는 변종이 확인 되었다. 해당 랜섬웨어는 기존에는 존재하지 않았던 암호화 제외 대상 목록이 존재하며 암호화 후 확장자를 변경시키지 않아 사용자가 감염 여부를 인지하기 어려울 것으로 예상된다.


이번 보고서에는 초기 ‘Hermes’ 랜섬웨어의 초기 버전부터 최근 버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. Hermes 랜섬웨어의 변화

 

구분

특징

시기

초기버전

 확장자명 변경하지 않음, 랜섬 노트 명(DECRYPT_INFORMATION.html)

201702

초기버전(변종)

 암호화 파일의 확장자명 변경 (.hermes)

201702

2.0버전

 감염 대상 파일 확장자 (.hwp)포함 약 810개로 증가

201704

2.1버전

 exe, dll, lnk, ini, hrmlog를 제외한 모든 파일 암호화

201710

2.1버전(변종)

 암호화 파일의 확장자명 변경 (.HRM)

201712

2.1버전(변종)

 ‘Chrome’, ‘Mozila’ 등 감염 제외 폴더 증가

201802

[1] Hermes랜섬웨어 초기버전부터 현재까지 변화





2-2. ‘Hermes 2.1’ 랜섬웨어 분석 정보

해당 악성코드의 분석 정보는 기존에 잉카인터넷 공식 블로그에서 분석한 ‘Hermes2.1’ 랜섬웨어와 동일하다. 아래 링크 주소를 따라가면 동일한 부분에 대해서 참고 할 수 있고, 이번 보고서에서는 차이점 위주로 알아보고자 한다.

‘Hermes 2.1 랜섬웨어 감염 주의’ : http://erteam.tistory.com/1500





2-3. 기존 분석보고서와의 차이점

기존에 분석한 ‘Hermes 2.1’ 랜섬웨어와는 달리 최근 발견된 랜섬웨어는 특정 폴더를 암호화에서 제외 하는데, 백신 제품 설치 폴더가 암호화될 경우 자체 보호 기능에 의해 사용자가 인지 할 수 있는 부분을 우회하기 위한 것으로 추정된다. 이는 과거 초기 ‘Hermes’ 에서는 없었던 것으로 최근 ‘Hermes2.1’ 랜섬웨어에 반영됐다. 암호화에서 제외하는 폴더의 일부는 아래 [그림 1] 과 같이 변수로 지정하여 암호화에서 제외시킨다.


[그림 1] 암호화 제외 폴더[그림 1] 암호화 제외 폴더




해당 랜섬웨어의 암호화 대상이 되는 파일은 기존과는 다르게 5개 확장자를 제외하고 모든 파일을 암호화 한다. 암호화에서 제외가 되는 확장자는 아래 [표 2]와 같다. 


구분

내용

암호화 대상 제외 파일 확장자

.exe .dll .lnk .ini .hrmlog 를 제외한 모든 확장자 암호화

[2] 암호화 대상 제외 파일 확장자 내용





2-4. 초기 버전과 최근 버전의 비교

‘Hermes’ 의 초기 버전과 최근 버전의 랜섬노트는 모두 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트 용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다. 버전의 차이만 있고 내용은 동일하다.


[그림 2] Hermes 초기버전 랜섬노트[그림 2] Hermes 초기버전 랜섬노트




[그림 3] Hermes 2.1 버전 랜섬노트[그림 3] Hermes 2.1 버전 랜섬노트



 

 

초기 Hermes

최근 Hermes

공통점

감염 제외 국가 (러시아, 우크라이나, 벨라루스)

암호화 대상 파일의 확장자를 변경하지 않음

Bat 파일 생성 및 실행하여 볼륨 쉐도우 카피 및 백업 파일 삭제

차이점

감염 제외 폴더

Windows, Microsoft, Program

Windows, AhnLab, Microsoft, Chrome, Mozilla

감염 대상 파일 확장자

txt, doc, zip, xls, jpg 외 약770개 확장자 감염

exe, dll, lnk, ini, hrmlog 5개를 제외한 파일 모두 감염

[3]Hermes 랜섬웨어 초기 버전과 최근 버전의 비교






3. 결론

이번 보고서에서 알아 본 ‘Hermes’ 랜섬웨어는 주로 웹의 취약점을 이용하여 공격을 시도 하기 때문에, 인터넷을 사용함 에 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 백업 파일을 삭제 하므로 중요한 자료는 별도로 백업해 보관해야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON