DLL 파일로 돌아온 Locky 랜섬웨어 주의



1. 개요


지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

locky.js (임의의 파일명)

파일크기

88,107 byte

진단명

Script/W32.Locky

악성동작

랜섬웨어 다운로더

네트워크

213.***.**.169 – 랜섬웨어 다운로드

 

구분

내용

파일명

xpJcmRk8Ng.dll (임의의 파일명)

파일크기

135,168 byte

진단명

Ransom/W32.Locky.135168.C

악성동작

파일 암호화

네트워크

138.***.***.196 – C&C

 



2-2. 실행 과정

악성 스크립트 파일은 랜섬웨어 DLL 파일을 다운로드 한다. 다운로드가 완료되면 윈도우 기본 프로그램인 rundll32.exe 를 통해 랜섬웨어 DLL 파일을 실행한다. 실행된 랜섬웨어는 사용자의 파일을 암호화하며, 암호화가 완료된 후 다음과 같은 그림으로 바탕화면을 변경하여 감염 사실을 알린다.

[그림 1] 감염된 사용자 PC 화면[그림 1] 감염된 사용자 PC 화면





3. 악성 동작


3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 DLL 형태의 랜섬웨어 파일을 다운로드 한다. 이전과는 다르게 랜섬웨어의 인코딩된 데이터를 다운로드 하며, 다운로드가 완료된 후 실행 가능하도록 디코딩한다.

[그림 2] 인코딩 된 랜섬웨어 다운로드[그림 2] 인코딩 된 랜섬웨어 다운로드



그리고 rundll32.exe 를 통해 랜섬웨어를 실행한다.

[그림 3] rundll32.exe 를 통한 랜섬웨어 실행[그림 3] rundll32.exe 를 통한 랜섬웨어 실행





3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화 

실행된 랜섬웨어는 볼륨 섀도 복사본을 삭제한다. 볼륨 섀도 복사본이란 특정한 시각의 파일이나 폴더 등을 포함한 스냅샷을 저장해둔 것으로, 사용자가 감염 이전 시점으로 복원하는 것을 방지하고자 이를 삭제하는 것으로 보인다.

[그림 4] 섀도 복사본 삭제[그림 4] 섀도 복사본 삭제



볼륨 섀도 복사본을 삭제한 뒤 사용자의 PC 에서 지정한 확장자 파일을 찾은 뒤 암호화 한다. 암호화된 파일의 확장자는 이전 버전에서와 같이 “.zepto” 로 변경되며, 각 폴더에는” _HELP_instrictions.html” 이라는 랜섬노트가 생성된다. 

[그림 5] 암호화된 파일과 랜섬노트[그림 5] 암호화된 파일과 랜섬노트



암호화 대상이 되는 파일의 확장자는 아래 표와 같으며, 국내에서 주로 사용하고 있는 한글문서 확장자인 “.hwp” 도 목록에 있는 것을 확인할 수 있다.

구분

내용

암호화 대상 파일 확장자

.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

[표 1] 암호화 대상 파일 확장자



랜섬노트는 아래와 같이 사용자의 파일이 암호화 되었음을 알려주며, 복호화 및 결제 페이지로 접속하는 방법을 안내한다.

[그림 6] 랜섬노트 내용[그림 6] 랜섬노트 내용



상기의 방법으로 결제 안내 페이지에 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 2.00비트코인을 요구하고 있다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Locky 랜섬웨어는 지속적으로 변종이 나타나고 있다. 랜섬웨어 피해를 최소화하기 위해선 명확하지 않은 파일을 다운로드하지말고, 파일 실행에 주의하여야 한다. 또한, 만일의 사태를 대비하여 중요 파일을 상시 백업을 해놓아야 피해를 최소화 할 수 있다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신버전으로 업데이트 하는 것이 중요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Locky의 변종, Zepto 랜섬웨어 분석 보고서 



 

 

1. 개요

연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

FB823FF1EC737DAA.docm

파일크기

39,533 byte

진단명

Trojan-Downloader/W32.MSWord.Gen

악성동작

랜섬웨어 다운로더

네트워크

195.***.***.188 – 랜섬웨어 다운로드






 

구분

내용

파일명

filarmon.exe

파일크기

369,152 byte

진단명

Ransom/W32.Locky.369152

악성동작

파일 암호화

네트워크

148.***.**.29 – C&C

m****v*3.m****st.com – C&C

d****o****y**v.k****t***v.vds.f****th.ru – C&C

 


2-2. 유포 경로

Locky 가 주로 이메일을 통해 유포된 것처럼 Zepto 또한 같은 방식으로 유포된다. 사용자가 메일의 첨부파일을 여는 순간 감염이 시작된며, 매크로 기능을 가진 첨부파일을 실행할 경우 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일을 다운로드 하고 실행한다.



[그림 1] 랜섬웨어를 다운로드 하는 첨부파일





2-3. 실행 과정

첨부된 워드 문서를 열면 아래의 그림과 같이 매크로 설정이 나타난다. 만약 매크로가 활성화되어 있다면 별도의 알림 창 없이 악성 동작이 바로 수행된다. 매크로는 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일(filarmon.exe)을 임시 폴더 하위에 다운로드 한다. 다운로드 된 랜섬웨어 파일은 바로 실행되어 파일 암호화를 진행한다.



[그림 2] 매크로포함 워드문서 보안 경고






3. 악성 동작

3-1. 랜섬웨어 다운로드 및 복구 이미지 제거

첨부파일을 실행시키면 공격자 서버와 연결을 시도한다, 성공적으로 연결되었을 경우 아래와 같이 추가 악성코드를 다운로드 한다. 다운로드 된 파일명은 filarmon.exe 로 임시 폴더 하위에 저장 및 실행되어 파일 암호화를 수행한다.


[그림 3] 네트워크를 통한 파일 다운로드



filarmon.exe 는 윈도우 정상 프로세스 vssadmin.exe 를 통해 시스템 복구 이미지를 삭제한다. 이는 파일이 암호화 된 후사용자가 감염 이전으로 시스템을 복구하는 것을 방지하는 것으로 대부분의 랜섬웨어에서 쉽게 볼 수 있는 동작이다.

 

[그림 4] VSS 제거


 



3-2. 파일 암호화

랜섬웨어는 공격자의 C&C 서버와 통신을 시도한다. 통신이 정상적으로 이루어질 경우 랜섬웨어는 파일에 대한 암호화를 시작한다. 암호화 시 아래의 그림과 같이 원본의 내용과 파일명이 모두 바꾸고, 확장자를 .zepto 로 변경한다. 감염 대상이 되는 파일 확장자는 아래와 같다.


구분

내용

zepto 랜섬웨어

암호화 감염 대상 확장자

.123 .3dm .3ds .3g2 .3gp .602 .aes .arc .asc .asf .asm .asp .avi .bak .bat .bmp .brd .cgm .cmd .cpp .crt .csr .csv .dbf .dch .dif .dip .djv .djvu .doc .docb .docm .docx .dot .dotm .dotx .fla .flv .frm .gif .gpg .hwp .ibd .jar .java .jpeg .jpg .key .lay .lay6 .ldf .m3u .m4u .max .mdb .mdf .mid .mkv .mov .mp3 .mp4 .mpeg .mpg .ms11 .myi .nef .odb .odg .odp .ods .odt .otg .otp .ots .ott .p12 .pas .pdf .pem .php .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .psd .rar .raw .rtf .sch .sldm .sldx .slk .stc .std .sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tbk .tgz .tif .tiff .txt .uop .uot .vbs .vdi .vmdk .vmx .vob .wav .wb2 .wk1 .wks .wma .wmv .xlc .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .zip .c .h .onetoc2 .SQLITE3 .SQLITEDB .litesql .litemod .forge .d3dbsp .asset .qcow2 .tar.bz2…

[표 1] 암호화하는 확장자


[그림 5] 암호화된 파일과 랜섬노트 파일


암호화가 진행됨에 따라 각 폴더에 랜섬노트(HELP_instructions.html)를 생성한다. 랜섬노트에는 이 랜섬웨어에서 사용한 암호화 방식(RSA-2048, AES-128)의 설명과 복호화 방법이 내포돼있다.



[그림 6] 랜섬노트 내용




4. 결론

랜섬웨어에 감염된 파일은 복호화 키를 알아내지 못하면 복구가 불가능하다. 랜섬웨어로 인한 피해가 여전히 나타나고 있으므로 사전에 주의를 하는 것이 매우 중요하다. 


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 MS 매크로 파일과 랜섬웨어 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect