'princesslocker'에 해당되는 글 1건

  1. 2016.10.06 [악성코드 분석] 한국어 지원 프린세스 랜섬웨어 주의

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
Posted by nProtect