랜섬웨어 분석 정보

[악성코드 분석] 80.exe (랜섬웨어)

80.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


1.1. 유포경로


랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.


80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.



[그림] 메일을 통해 유포된 랜섬웨어 80.exe






1.2. 80.exe


이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.


임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.






1.3. kgbbpacroic.exe


80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.



[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : Acrndtd (고정)

값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe”

                                                                  (랜덤한 11자 문자)

[] 자동 실행 레지스트리






이후 실행된 PC 의 루트 디렉토리(C:\, D:\ )에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브  내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.


암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.



.avi .m3u .mov .mp4 .wma .wmv

오디오 및 비디오 파일

.crw .jpe .jpeg .jpg .png

이미지 파일

.ai .psd

포토샵 파일

.css .js .py

소스 파일

.csv .doc .docx .pdf .ppt .pptx

.rtf .txt .wpd .wps .xls .xlsx

문서 파일

.pak .rar .zip

압축파일

.bkf

MS 백업파일

.cer

인증서 파일

.cdr

코렐 드로우 파일

.cer

보안 인증서

.dbf

dBase 파일

.dcr

쇽웨이브 파일

.dmp

화면이나 메모리의 덤프 파일

.dwg

오토캐드 파일

.eps

캡슐화된 포스트스크립트 이미지

.gdb

영산정보통신 GVA GVA2000, 압축된 강의 파일

.indd

Adobe, Indesign

.mdb

마이크로소프트 액세스 데이터베이스

.mdf

마이크로소프트, MS-SQL Master 데이터베이스 파일

.pic

PC Paint 비트맵

.pst

마이크로소프트 아웃룩, 개인 폴더 파일

.raw

Raw File Format (비트맵)

.sav

저장된 게임 파일 (일반 명칭)

.svg

W3C, 스케일러블 벡터 그래픽스 파일

(인터넷 멀티미디어 파일 교환용)

.vcf

넷스케이프, 가상 카드 파일

.mcmeta .lvl

게임 관련 파일

[] 암호화 대상 확장자

 


암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.




  [그림] 원본 파일() 과 암호화 된 파일 ()

 



[그림] 원본 파일() 과 암호화 된 파일()

 

 




암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.




[그림] 랜섬웨어 감염 안내문






2. 결론


80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



댓글

댓글쓰기

랜섬웨어 분석 정보 관련된 글

관련글 더보기