분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘AllCry ransomware’ 감염 주의

TACHYON & ISARC 2017. 10. 1. 17:02

‘AllCry ransomware’ 감염 주의


1. 개요 


추석 연휴 시작에 앞서, 정상 프로그램으로 위장한 랜섬웨어가 발견됐다. 일반적인 랜섬웨어가 문서파일만 암호화 한 뒤 금전을 요구하는 것과 달리, 해당 랜섬웨어는 특정 조건을 만족하는 파일을 제외한 모든 파일을 암호화 한 뒤 금전을 요구한다. 또한, 랜섬노트에 ‘한글’을 지원하는 것으로 보아, 랜섬웨어 제작자는 국내 사용자 역시 대상으로 삼은 것으로 보인다. 이번 보고서에서는 현재 유포되고 있는 ‘AllCry ransomware’ 에 대해 알아본다




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Qbridge.exe

파일크기

727,816 byte

진단명

Trojan/W32.Agent.231936.HM

악성동작

드롭퍼










구분

내용

파일명

winsrv.exe

파일크기

231,936 byte

진단명

Ransom/W32.Agent.727816

악성동작

파일 암호화











2-2. 실행 과정

숙주 파일인 Qbridge.exe 파일이 샐행되면, 기존 프로그램인 Qbridge.exe(숙주파일과 이름만 동일하며 다른 파일) 파일과 AllCry 랜섬웨어인 winsrv.exe 파일이 생성된다. 이후, winsrv.exe 가 실행되며 winsrv.exe 는 암호화 동작을 수행하며, 암호화 사실을 확인해 주는 GUI 프로그램 allcry.exe 와 랜섬노트 readme.txt 파일을 생성한다.





3. 악성 동작


3-1. 파일 드롭 및 실행

숙주파일(Qbridge.exe)은 실행 시, 리소스 데이터를 복호화 하여 원래의 Qbridge.exe 파일과 winsrv.exe 파일을 드롭한다. 이후, 두 개의 파일을 실행시킨 후 종료 된다.



[그림 1] AllCry 랜섬웨어 파일 생성 흐름도[그림 1] AllCry 랜섬웨어 파일 생성 흐름도






3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하나, 암호화 동작 전 특정 원격지에 감염 사용자 정보전송에 실패 할 경우, 암호화를 진행하지 않는다. 현재 분석 시점에서는 해당 원격지에 연결이 되지 않아 암호화를 수행하지 않는다.


암호화 루틴이 동작 할 경우, 현재 실행중인 파일 및 WhiteList 에 등록된 문자열을 포함하지 않은 모든 경로의 모든 파일이 암호화 된다. 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.allcry’ 로 변경한다. WhiteList 에 등록된 문자열은 하기와 같다.


[그림 2] AllCry 원격지 연결 실패[그림 2] AllCry 원격지 연결 실패




C:\\Windows\System32\winsrv.exe / .allcry / .dll / .msi / readme.txt 



 [그림 3] Whitelist 관련 문자열이 포함된 메모리 영역 [그림 3] Whitelist 관련 문자열이 포함된 메모리 영역



[그림 4] 암호화 수행 전 특정 폴더의 상태[그림 4] 암호화 수행 전 특정 폴더의 상태



[그림 5] 암호화 수행 후 특정 폴더의 상태[그림 5] 암호화 수행 후 특정 폴더의 상태




3-3. 암호화 확인 프로그램 연결

해당 랜섬웨어는 .allcry 확장자를 가진 파일을 실행 시, 암호화 관련 안내 프로그램인 allcry.exe 가 실행 되도록 레지스트리 값을 수정 한다. 변경되는 레지스트리 값은 하기와 같다.


[그림 6-1] 변경 된 레지스트리 값[그림 6-1] 변경 된 레지스트리 값




[그림 6-2] 변경 된 레지스트리 값[그림 6-2] 변경 된 레지스트리 값




3-4. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 랜섬노트에 작성되어 있는 주소로 금전을 지불할 것을 요구하고 있다.



[그림 7] 암호화 관련 안내 프로그램[그림 7] 암호화 관련 안내 프로그램





[그림 8] 랜섬노트[그림 8] 랜섬노트






4. 결론

이번 보고서에서 분석한 AllCry 랜섬웨어는 특정 문자열만 제외한 모든 파일을 암호화 하기 때문에 원본 파일을 복구하지 않으면, PC 의 정상 사용이 불가능하여 더욱 위협적이다. 사용자들은 출처가 불분명한 파일의 설치 및 실행에 주의를 기울여야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면