네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.

이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sts.exe

파일크기

30,208byte

진단명

Ransom/W32.Satan.30208

악성동작

파일 암호화





2-2. 동작 방식

이번 Satan 랜섬웨어 ‘sts.exe’는 실행과 동시에 두 개의 파일을 다운로드하고 실행하여 파일 암호화 및 네트워크 전파  기능을 수행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’가 붙고 확장자가 ‘.satan’으로 변경되며, 파일 암호화가 모두 완료되면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’ 랜섬노트를 띄워 가상화폐를 요구한다.





3. 악성 동작


3-1. 악성 파일 다운로드 및 실행

‘sts.exe’ 파일 실행 시 아래와 같이 특정 IP에서 ‘ms.exe’와 ‘client.exe’ 파일을 다운로드하고 실행시킨다. 각각의 실행 인자로 사용된 ‘-piamsatancryptor’와 ‘-pabcdefghijklmn’는 실행하는데 필요한 암호로 사용된다.


[그림 1] 파일 다운로드 및 실행 코드[그림 1] 파일 다운로드 및 실행 코드



[그림 2] 다운로드 후 실행된 ‘ms.exe’와 ‘client.exe’




3-2. 네트워크 통한 랜섬웨어 전파 시도

랜섬웨어 네트워크 전파를 위해 SMB 프로토콜 취약점 공격 도구인 이터널 블루를 사용하는데 이번 Satan 랜섬웨어에서 ‘ms.exe’ 파일이 그 동작을 수행한다. 아래 그림은 네트워크를 통해 랜섬웨어 전파를 시도하는 모습이다.


[그림 3] 랜섬웨어 네트워크 전파 시도[그림 3] 랜섬웨어 네트워크 전파 시도




3-3. 파일 암호화

다운로드 후 실행된 ‘client.exe’는 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’를 붙이고 확장자를 ‘.satan’으로 변경한다. 아래 암호화 대상 확장자 및 암호화된 파일에 대한 화면이다. 

 

구분

내용

암호화 대상 확장자

.asm, .asp, .aspx, .bak, .bat, .conf, .cpp, .cs, .dbf, .dmp, .doc, .docx, .frm, .inc, .ini, .jsp, .ldf, .mdf, .myd, .myi, .php, .ppt, .py, .rar, .sh, .sql, .txt, .vbs, .xls, .xlsx...

[1] 암호화 대상 확장자 목록


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

windows, python2, python3, microsoft games, boot, i386, ST_V22, intel,     dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windowsmail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user

[2] 화이트 리스트 폴더 문자열



파일 암호화를 모두 완료하면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’라는 이름의 랜섬노트 파일을 실행시킨다. 랜섬노트에는 파일 복구를 조건으로 3일 이내 0.3 비트코인 지불을 요구하는 내용이 담겨있다.


[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용





4. 결론

이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루를 통해 네트워크 전파를 시도한다. 네트워크를 통한 추가 감염으로 피해의 규모가 커질 수 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면




Posted by nProtect & TACHYON

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 


1. 개요 


최근 취약점 등을 이용해 유포되던 ‘GandCrab Ransomware’가 버전업 되어 악성 메일로 유포 되고 있어 사용자들의 주의를 요한다. 사용자의 실행을 유도하는 악성 메일로 활발히 유포가 되고 있는 ‘GandCrab Ransomware’를 이번 보고서에서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

41,472bytes

진단명

Ransom/W32.GandCrab.208904

악성동작

파일 암호화





2-2. 유포 경로

기존 GandCrab 랜섬웨어 2.0와 유사하게 악성 메일로 유포되고 있으며, ‘=지원서=’, ‘입사지원서’ 라는 제목으로 유포되어 첨부파일 실행을 유도한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포




압축된 첨부파일에는 문서 파일과 그림파일로 위장하는 LNK파일이 있으며, 해당 LNK 파일을 실행 시 ‘James.exe’라는 악성 파일이 실행된다. 해당 파일은 숨김 속성으로 되어 있다.


[그림 2] 이메일 첨부파일[그림 2] 이메일 첨부파일





2-3. 실행 과정

해당 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에는 ‘.CRAB’ 라는 확장자를 덧붙인다. 또한 암호화 된 폴더에 ‘CRAB-DECRYPT.txt’이라는 랜섬노트를 생성한다. 아래와 같이 ‘CRAB-DECRYPT.txt’에서 버전이 v2.1로 바뀐 것을 확인 할 수 있다.


[그림 3] GandCrab v2.1랜섬노트 (txt파일)[그림 3] GandCrab v2.1랜섬노트 (txt파일)




생성된 텍스트 파일의 내용중 Tor 웹 브라우저를 이용하여 개인 ID로 구성된 특성 URL 주소로 접속을 안내한다. 연결된 지불 페이지에서 암호 화폐인DASH와 Bitcoin을 요구하고 있으며, 정해진 기간이 경과 할 시 2배의 가격을 요구한다.


[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)



[그림 5] 기간 경과 시 2배의 가격 요구[그림 5] 기간 경과 시 2배의 가격 요구






3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 2.0 버전과 마찬가지로 아래 [표 1]와 같이 종료 대상 프로세스를 비교하며, 사용자의 PC에서 해당 프로세스가 실행되고 있을 시 종료 한다. 


 

구분

내용

종료 대상 프로세스 목록

‘msftesql.exe’, ‘sqlagent.exe’, ‘sqlbrowser.exe’, ‘sqlservr.exe’, ‘sqlwriter.exe’, oracle.exe’, ocssd.exe’, dbsnmp.exe’, synctime.exe’, mydesktopqos.exe’, agntsvc.exeisqlplussvc.exe’, xfssvccon.exe’, mydesktopservice.exe’, ocautoupds.exe’, agntsvc.exeagntsvc.exe’, agntsvc.exeencsvc.exe’, firefoxconfig.exe’, tbirdconfig.exe’, ocomm.exe’, mysqld.exe’, dbeng50.exe’, sqbcoreservice.exe’, excel.exe’, infopath.exe’, msaccess.exe’, mspub.exe’, onenote.exe’, outlook.exe’, powerpnt.exe’, steam.exe’, sqlservr.exe’, thebat.exe’, thebat64.exe’, thunderbird.exe’, visio.exe’, winword.exe’, wordpad.exe’, mysqld-nt.exe’, mysqld-opt.exe’

[1] 종료 대상 프로세스 목록





3-2. 자동 실행 레지스트리 등록

해당 랜섬웨어 실행 시 ‘C:\Users\[사용자 계정\AppData\Roaming\Microsoft 하위에 [임의의 파일명.exe]’로 자신을 복제하며, 재부팅 시에도 자동 실행이 되기 위해 레지스트리에 등록한다.


[그림 6] 자동 실행 레지스트리 등록[그림 6] 자동 실행 레지스트리 등록






3-3. 화이트 리스트 목록

해당 랜섬웨어는 파일 암호화 시 암호화를 제외하는 화이트 리스트가 존재한다. 아래와 같은 경로 및 파일명 그리고 특정 확장자는 암호화에서 제외한다. 해당 목록은 기존 버전과 동일하다. 

 

구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[2] 화이트리스트 목록





3-4. 이동식 드라이브 감염

해당 랜섬웨어는 이동식 드라이브를 검색하여 감염 동작을 수행한다.


[그림 7] 이동식 드라이브 감염[그림 7] 이동식 드라이브 감염






3-5. 암호화 완료 시 재부팅

해당 랜섬웨어는 파일 암호화가 완료된 뒤 시스템을 강제종료 하고 재부팅 한다. 


[그림 8] 암호화 완료 시 재부팅[그림 8] 암호화 완료 시 재부팅






4. 결론

최근 'GandCrab Ransomware' 는 2.0 버전이 유포 된지 얼마 되지 않아 2.1로 버전업 되어 악성 메일로 활발히 유포 되고 있다. 활발히 유포 되고 있는 만큼 랜섬웨어의 피해를 최소한으로 예방하기 위해 수신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON