[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어



1. 개요 


현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다.


또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다.


2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다.







2. 분석 정보


2-1. 유포 경로

최초 유포는 우크라이나 세무관련 프로그램의 업데이트 프로그램 변조를 통해 유포된 것으로 추정되고 있다. 추가적으로 이메일을 통한 유포 가능성은 높지만 정확하게 확인 되지 않은 상태이다.

또한, 네트워크 전파는 SMB취약점뿐 아니라 PSEXEC와 WMIC 를 통해서도 이루어질 수 있으나, 로컬 네트워크로만 전파되는 특징을 가진다.




2-2. 실행 과정

랜섬웨어가 구동된 경우 MBR 감염을 수행하고 ‘C:\Windows’ 폴더를 제외한 모든 폴더를 대상으로 특정 확장자의 파일을 암호화 한다. 암호화 된 후 확장명을 변경하지는 않는다. 특정 시간 이후에 재부팅이 되도록 시스템이 설정된다. 재부팅 이후 가짜 CHKSDK 화면을 출력하며 화면이 출력하는 동안 MFT 암호화를 진행할 것으로 추정된다.


[그림 1] 가짜 CHKSDK 화면[그림 1] 가짜 CHKSDK 화면






3. 악성 동작


3-1. MBR 파괴

[그림2] MBR 파괴 전과 후 비교[그림2] MBR 파괴 전과 후 비교




3-2. 파일 암호화

해당 랜섬웨어는 C:\windows 를 제외한 모든 폴더에 다음 표에 확장자를 가진 파일에 대해 암호화를 시도한다

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상
파일

확장자

.3ds  .7z  .accdb  .ai  .asp  .aspx  .avhd  .back  .bak  .c  .cfg  .conf  .cpp.cs  .ctl  .dbf  .disk  .djvu  .doc  .docx  .dwg  .eml  .fdb  .gz  .h  .hdd .kdbx  .mail  .mdb  .msg  .nrg  .ora  .ost  .ova  .ovf  .pdf  .php  .pmf  .ppt  .pptx  .pst  .pvi  .py  .pyc  .rar  .rtf  .sln  .sql  .tar  .vbox  .vbs  .vcb  .vdi  .vfd  .vmc  .vmdk  .vmsd  .vmx  .vsdx  .vsv  .work  .xls  .xlsx  .xvd  .zip

[ 1] 암호화 대상 확장자



파일 암호화는 AES를 사용하며, AES키는 RSA로 암호화 되어 저장된다.



3-3. 금전 요구

암호해제 비용으로는 $300을 비트코인으로 요구하고 있으며, 비트코인 지불 후 개인고유키와 지불한 비트코인 월렛 아이디를 이메일로 보낼 것을 요구한다.


하지만, 이메일 제공사인 posteo사에서 계정을 정지시켜 놓은 상태이므로 복호화 키를 받는 것은 불가능하다. 따라서 랜섬웨어에 감염되었다고 비트코인을 지불해서는 안된다.   


만약 해당 랜섬웨어에 감염되었다면, 랜섬웨어에 의해 재부팅 되기 전 컴퓨터를 종료하고 전문가에게 도움을 요청해야 피해를 최소화 할 수 있다.


[그림 3] 랜섬노트[그림 3] 랜섬노트






4. 결론

이번 Petya 랜섬웨어 변종은 WanaCryptpr 랜섬웨어와 같이 Eternal Blue 취약점을 공격하는 방식이 추가되었다. Petya 랜섬웨어는 지속적으로 변종이 발견되고 있으며 시간이 흐를수록 더 위험성이 높아지고 있다. 


이번 Petya 랜섬웨어에서 새로 추가된 전파 기법은 이전 WanaCryptor 에서 이미 이슈화 되었지만, 해당 취약점에 대한 업데이트가 아직 미흡하여 많은 피해를 입힌 것으로 보인다. 앞으로도 동일한 취약점 뿐 만 아니라 다른 취약점을 이용한 악성코드들이 발견 될 가능성이 많기 때문에 항상 최신 업데이트를 유지해야 할 것이다.



Petya 랜섬웨어 예방방법

  • MS17-010 을 포함한 Windows를 최신 업데이트를 적용한다.
  • SMBv1 비활성화 또는 445 port를 차단한다. 
  • (https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)
  • 백신을 최신상태로 유지한다.
  • 중요정보의 경우 주기적으로 백업한다.

아울러, 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0의 MBR 보호 기능을 사용하면 MBR 변조를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye




1. 개요 


2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.

최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

GoldenEye.xls (임의의 파일명)

파일크기

1,805,312 byte

진단명

Ransom/X97M.Goldeneye.1805312

악성동작

파일 드롭 및 실행

  

구분

내용

파일명

rad[임의의5자리].exe

파일크기

368,640 byte

진단명

Ransom/W32.Goldeneye.368640

악성동작

파일 암호화, MBR 변조

 



2-2. 유포 경로

GoldenEye 랜섬웨어는 이메일에 첨부되어 유포되고 있다. 첨부된 파일은 .xls 파일로 해당 파일을 열어 매크로를 실행시키면 랜섬웨어를 실행하여 암호화 동작을 수행한다.




2-3. 실행 과정

첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 PC의 MBR을 변조한다. 이 두 동작이 완료되면 PC를 강제로 재부팅 시켜 변조된 MBR의 코드가 실행된다. 모든 동작을 수행한 뒤 랜섬웨어는 아래와 같은 해골 문양의 화면을 출력한다.


[그림 1] 감염된 사용자 화면[그림 1] 감염된 사용자 화면




3. 악성 동작


3-1. 매크로 실행 유도 및 파일 드롭

첨부된 .xls 파일을 실행하면 다음과 같은 문구가 쓰여있는 것을 확인할 수 있다. 이는 파일의 내용을 확인하고 싶으면 매크로 기능을 활성화하라는 문구로, 사용자가 매크로 기능을 실행하게끔 유도하는 것을 확인할 수 있다. 매크로가 실행되면 암호화 동작을 수행하는 랜섬웨어가 사용자의 PC 에 드롭된 후 실행된다.


[그림 2] 매크로 실행[그림 2] 매크로 실행





3-2. 파일 암호화

드롭된 랜섬웨어는 사용자의 파일을 찾아 암호화한다. 암호화된 파일의 이름에는 “a.xlsx” 가 “a.xlsx.12345678” 과 같이 임의의 8자리 문자가 덧붙여진다. 또한 “YOUR_FILES_ARE_ENCRYPTED” 라는 이름의 랜섬노트가 생성 된 것을 확인 할 수 있다.

[그림 3] 암호화된 파일[그림 3] 암호화된 파일


랜섬노트에는 아래와 같이 사용자의 파일이 암호화 되었다는 문구와 복호화 안내 문구가 써있다.

[그림 4] 랜섬노트 파일[그림 4] 랜섬노트 파일


3-3. MBR 변조 및 MFT 암호화

파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 아래와 같이 “CHKDSK” 작업이 진행 중임을 나타낸다. 실제로 디스크를 점검하는 것처럼 보이지만 실상은 사용자 PC 의 MFT 를 암호화하고 있는 것이다.

[그림 5] MFT 암호화[그림 5] MFT 암호화


MFT 암호화가 완료되면 다시 PC가 부팅되며 노란 해골 화면이 출력된다. 그리고 다음 화면으로 진행하면 아래와 같이 GoldenEye 랜섬웨어에 의해 사용자의 PC 가 암호화 되었다는 사실을 알려준다.

[그림 6] 변조된 MBR[그림 6] 변조된 MBR


3-4. 금전 요구

랜섬노트에서 안내하는 페이지로 접속할 경우 GoldenEye 랜섬웨어 복호화 사이트에 접속할 수 있다. 해당 랜섬웨어는 약 1.3 비트코인을 요구하고 있다. 현재 FAQ는 활성화 되어 있지 않고 Support 페이지를 통해 랜섬웨어 배포자에게 질의를 할 수 있다. 질의를 통해 좀 더 상세한 안내를 하고 있으며 사용자의 결제를 유도한다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Petya 랜섬웨어 악성코드 군은 계속해서 새로운 모습으로 나타나 사용자 PC를 위협하고 있다. Petya와 비교했을 때, GoldenEye 랜섬웨어는 더 강한 악성 동작으로 사용자에게 큰 피해를 주고 있다. 


현재 국내에서는 활발히 유포되고 있지 않지만 해당 랜섬웨어가 이전부터 이메일 첨부 방식을 사용해왔으며, 주로 첨부 파일의 이름을 ‘이력서’와 관련 짓는다는 점에서 기업 채용 담당자의 각별한 주의가 필요하다. 랜섬웨어에 의한 피해를 예방하기 위해서는 안티바이러스 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불분명한 첨부 파일의 열람을 자제 해야 한다.


위 랜섬웨어 파일과 랜섬웨어를 드롭하는 엑셀 매크로 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect