분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 'Jigsaw (ver .korea) Ransomware' 분석

TACHYON & ISARC 2017. 8. 17. 14:53

Jigsaw (ver .korea) Ransomware 분석 보고서 



1. 개요 


최근 유창한 한국어로 작성 되어 국내 사용자들을 겨냥한 듯한 ‘Jigsaw’ 랜섬웨어가 발견 되었다.


‘Jigsaw’ 랜섬웨어는 국내에서도 공포 영화로 잘 알려진 ‘쏘우’ 에 나온 가면을 사용자에게 보여주고 일정 시간이 지나면 차례로 파일을 삭제하여 피해자가 조바심을 느끼게 하여 복호화 비용을 지불하도록 만드는 랜섬웨어이다.


특히, ‘Jigsaw’ 랜섬웨어 감염 시 나타나는 랜섬노트가 한국인이 작성했을 것으로 추측될 정도의 문장으로 구성되어 있다는 특징이 있다.


다만, 현재 분석 시점에서는 해당 랜섬웨어가 암호화동작을 수행하지 않고 있어, 제작이 진행중이거나 임시 테스트용으로 보여지며 국내를 대상으로 잠재적인 위협요소를 지니고 있어 각별한 주의가 필요하다.


이번 보고서에서는 한국어로 복호화 비용을 안내하는 ‘Jigsaw’ 랜섬웨어에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

WindowApplication.exe

파일크기

256,512 byte

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 경로는 밝혀지지 않았지만 해당 랜섬웨어는 암호화 동작을 수행하지 않고 있어 랜섬웨어 제작자가 임의의 테스트용으로 만들었을 것으로 추정되고 있다.



2-3. 실행 과정

해당 ‘Jigsaw’ 랜섬웨어가 실행되면 실제 암호화 동작을 수행하지는 않으며, 사용자 바탕화면에 아래 [그림 1] 와 같이 팝업 창만 띄워 사용자에게 랜섬웨어에 감염된 것처럼 보여준다.

[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>


[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>






3. 악성 동작


3-1. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 숙주파일과 동일하지만 파일명이 바뀐 ‘firefox.exe’ 를 실행하도록 한다. 


[그림 3] 랜섬웨어 실행 레지스트리 값 추가[그림 3] 랜섬웨어 실행 레지스트리 값 추가





3-2. 파일 암호화

해당 ‘Jigsaw’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES 알고리즘을 사용하여 암호화 한 뒤, “.korea” 라는 확장자를 덧붙인다. 하지만 현재 분석 시점에서는 실제 암호화를 진행하지 않는다.

 [그림 4] AES 암호화 [그림 4] AES 암호화



코드 내에 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

.jpg .jpeg .raw .tif .gif .png .bmp .3dm .max .accdb .db .dbf .mdb .pdb .sql .dwg .dxf

.c .cpp .cs .h .php .asp .rb .java .jar .class .py .js .aaf .aep .aepx .plb .prel .prproj .aet

.ppj .psd .indd .indl .indt .indb .inx .idml .pmd .xqx .xqx .ai .eps .ps .svg .swf .fla .as3

.as .txt .doc .dot .docx .docm .dotx .dotm .docb .rtf .wpd .wps .msg .pdf .xls .xlt .xlm

.xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm

.ppam .ppsx .ppsm .sldx .sldm .wav .mp3 .aif .iff .m3u .m4u .mid .mpa .wma .ra .avi

.mov .mp4 .3gp .mpeg .3g2 .asf .asx .flv .mpg .wmv .vob .m3u8 .mkv .dat .csv .efx

.sdf .vcf .xml .ses .rar .zip .7zip


[표 1] 암호화 대상 파일 확장자




3-3. 금전 요구

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 일반적인 ‘Jigsaw’ 랜섬웨어와 거의 유사한 팝업창을 띄워 사용자에게 비트코인 지불방법에 대해서 안내한다. 안내문구는 한국인이 개입하였을 것으로 추측될 만큼 유창한 한국어로 작성되어 있다.  

[그림5] 한글 랜섬노트[그림5] 한글 랜섬노트



실제 암호화 동작이 이루어지고 있지는 않지만 암호화 된 파일이 존재할 경우 이를 인질로 삼아 제한시간 내에 비트코인을 지불하지 않을 시, 파일 삭제로 위협 한다는 것을 확인 할 수 있다.


[그림6] 파일 삭제[그림6] 파일 삭제





4. 결론


이번 보고서에서 알아 본 ‘Jigsaw’ 랜섬웨어는 실제 암호화 동작이 이루어지고 있지 않기 때문에 피해 사례가 발생하지는 않았지만 국내 사용자를 대상으로 만들어진 만큼 새로운 유형에 접목시켜 유포 시 피해가 발생할 수 있어 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.