게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석
1. 개요
일반적으로 랜섬웨어는 해당 PC에 저장되어 있는 데이터 파일들을 암호화하여 인질로 잡고, 이를 복구하기 위한 방법으로 금전적 요구를 하는 악성코드이다. 하지만 최근에 발견된 ‘Rensenware’(련선웨어) 의 경우 암호화된 파일을 복구하기 위해 금액 지불이 아닌 특정 게임에서 일정 점수 이상을 달성해야 한다.
해당 ‘Rensenware’ 는 국내 한 누리꾼이 재미를 위해 개발한 랜섬웨어로, 실행 파일이 직접적으로는 배포되지 않았다. 하지만 인터넷에 소스코드가 공개되어 악용의 소지가 있을 것으로 예상된다.
사태의 심각성을 인지한 해당 개발자는 빠른 사과와 무력화 툴을 공개하였지만 유사한 악성코드가 발견될 수 있어 국내 사용자들에게 주의를 요한다.
이번 보고서에서는 일반적인 랜섬웨어의 복구 방식과 다른 ‘Rensenware’ 에 대하여 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | Rensenware.exe |
파일크기 | 98,816 byte |
악성동작 | 파일 암호화, 게임 점수 요구 |
2-2. 유포 경로
해당 악성코드의 공개 소스는 국내 커뮤니티 게시판에 공개용으로 게재 되었던 것으로 보이며, 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.
2-3. 실행 과정
‘Rensenware’ 가 실행되면 사용자 PC에 있는 데이터 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.
랜섬노트에는 다음과 같이 특정 게임의 일정 점수를 얻어야만 복호화를 수행한다는 내용을 담고 있다. 하지만 게임 실행 파일은 포함되어 있지 않아 사용자가 게임을 별도로 다운로드를 해야한다.
![[그림 1] ‘Rensenware’ 랜섬노트](https://t1.daumcdn.net/cfile/tistory/2558013558F8428918)
3. 악성 동작
3-1. 파일 암호화
해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-256 알고리즘을 사용하여 암호화 한 뒤 ‘.RENSENWARE’ 라는 확장자를 덧붙인다.
![[그림 2] AES-256 암/복호화](https://t1.daumcdn.net/cfile/tistory/23346A3458F842DF18)
![[그림 3] 원본 파일 확장자에 ‘.Rensenware’ 덧붙이는 부분](https://t1.daumcdn.net/cfile/tistory/2703843A58F842F403)
사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.
|
구분 |
내용 |
|
암호화 대상 파일 확장자 |
".jpg",".txt",".png",".pdf", ".hwp",".psd",".cs",".c",".cpp",".vb",".bas",".frm",".mp3", ".wav",".flac",".gif",".doc",".xls",".xlsx",".docx",".ppt",".pptx",".js",".avi",".mp4",".mkv", ".zip",".rar",".alz",".egg",".7z",".raw" |
[표 1] 암호화 대상 파일 확장자
3-2. 특정 게임과 관계
암호화 된 데이터 파일을 복호화 하기 위해서는 “동방성련선” 이라는 게임이 필요하다. 해당 게임은 아래 그림과 같은 모습이며, 게임모드 중 ‘루나틱 모드’ 를 선택하여 ‘2억’ 점 이상을 획득해야 한다.
![[그림 4] ‘동방성련선’ 게임 화면과 점수 부분](https://t1.daumcdn.net/cfile/tistory/22201E3658F8435F39)
[그림 5]에서 해당 랜섬웨어가 게임 모드와 점수를 지속적으로 확인하는 것을 알 수 있다.
![[그림 5] ‘동방성련선’ 게임 모드와 점수 체크 부분](https://t1.daumcdn.net/cfile/tistory/243C853458F8437E04)
3-3. 암호화 된 파일 복호화
현재 해당 랜섬웨어는 개발자에 의해 복호화 툴이 배포되고 있다. 복호화 툴은 아래와 같으며, 게임이 실행 중일 때만 복호화가 가능하다. 게임이 실행 중일 때 “FORCE IT” 버튼을 누르게 되면 게임의 점수가 조작되는 것을 확인 할 수 있다.
![[그림 6] ‘Rensenware’ 무력화 툴](https://t1.daumcdn.net/cfile/tistory/220A3D3B58F843AF16)
[그림 7]과 같이 게임의 점수가 조작되어 ‘4억’ 점으로 변경되는 것을 확인할 수 있다.
![[그림 7] 점수를 변경시키는 소스 코드](https://t1.daumcdn.net/cfile/tistory/224FF23358F843DA07)
![[그림 8] 게임 점수 변경](https://t1.daumcdn.net/cfile/tistory/240CA53858F843EC30)
해당 게임 점수가 4억점으로 변경된 뒤, 이전에 출력된 랜섬노트 화면에서 복호화가 진행되고 있다는 메시지가 출력된다. 복호화가 완료된 뒤 알림과 함께 암호화 된 파일이 복호화 된 것을 확인 할 수 있다.
![[그림 9] 복호화 알림](https://t1.daumcdn.net/cfile/tistory/254B603658F8440C0B)
![[그림 10] ‘Rensenware’ 복호화 된 파일](https://t1.daumcdn.net/cfile/tistory/26702D3658F8441E1E)
4. 결론
해당 랜섬웨어의 경우 개발자가 무력화 도구를 공개하여 파일 복호화가 가능하다. 하지만 Golden Tear 소스코드의 악용 사례와 같이, 이미 공개된 랜섬웨어 소스코드의 악용으로 인한 추가적인 피해가 나타날 수 있으므로 주의해야 한다.
또한, 사용자는 신뢰되지 않는 사이트에서 다운로드는 지양해야 하며, 출처가 불분명한 파일의 경우 실행에 주의해야 한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의 (0) | 2017.05.10 |
|---|---|
| [악성코드 분석] Venus Locker의 변종, LLTP Locker 감염 주의 (0) | 2017.04.24 |
| [악성코드 분석] 한국어 지원하는 ‘Revenge’ 랜섬웨어 상세 분석 (0) | 2017.04.04 |
| [악성코드 분석] 이메일과 웹사이트로 유포된 Spora 랜섬웨어 분석 (0) | 2017.03.27 |
| [악성코드 분석] 2.0 버전으로 나타난 Sage 랜섬웨어 분석 (0) | 2017.02.13 |