분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의

TACHYON & ISARC 2018. 3. 27. 10:51

공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의 



1. 개요 


최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.

이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Annabelle.exe

파일크기

216,576 bytes

진단명

Ransom/W64.Annabelle.216576

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.




2-3. 실행 과정

애나벨 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 “.ANNABELLE ”라는 확장자를 덧붙인다. 또한, 파일 암호화가 끝나면 컴퓨터를 재부팅시키고 아래 [그림 1]과 같은 랜섬노트를 화면에 출력한다.



[그림 1] 애나벨 랜섬노트[그림 1] 애나벨 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어들처럼 암호화 제외 대상이나 암호화 대상 파일 테이블이 없고, 시스템 내 모든 파일을 정적 키(static key)를 이용하여 암호화 시킨다. 


[그림 2] 파일 암호화[그림 2] 파일 암호화





3-2. 볼륨 쉐도우 복사본 삭제 및 윈도우 방화벽 해제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림 3] 볼륨 쉐도우 삭제[그림 3] 볼륨 쉐도우 삭제



또한, 네트워크 명령 셸인 netsh.exe를 이용하여, 아래와 같은 명령어로 사용자의 윈도우 방화벽을 해제한다.


[그림 4] 윈도우 방화벽 해제[그림 4] 윈도우 방화벽 해제





3-3. 주요 프로그램 실행 불가 및 기능 잠금

애나벨 랜섬웨어는 암호화 동작이 수행 되는 동안, 사용자가 다른 프로그램을 실행하지 못하게 아래의 [표1]의 파일의 레지스트리의 이미지 파일 실행 부분을 수정한다. 


 

구분

내용

레지스트리 변경 대상

taskkill.exe, iexplore.exe, attrib.exe, Autoruns.exe, Autoruns64.exe,b bcdedit.exe, cabinet.dll,chkdsk.exe, chrome.exe, cmd.exe, control.exe, DBGHELP.exe, DCIMAN32.exe, dllhost.exe, firefox.exe, gpedit.msc,ksuser.dll,logoff.exe, microsoftedge.exe, microsoftedgecp.exe, mmc.exe, mpg4dmod.dll,MSASCuiL.exe, msconfig.exe, mspaint.exe, mydocs.dll, notepad++.exe, notepad.exe, opera.exe, powershell.exe, rasman.dll,recoverydrive.exe, rundll.exe, rundll32.exe, secpol.msc,sethc.exe, shellstyle.dll,systemexplorer.exe, taskmgr.exeurl.dll,usbui.dll,UserAccountControlSettings.exe, webcheck.dll,wmplayer.exe, yandex.exe

[표 1] 레지스트리 변경 대상


[그림 5] 주요 프로그램 실행 불가[그림 5] 주요 프로그램 실행 불가




또한, 아래 표와 같이 하기의 레지스트리키를 생성하여 주요 기능을 잠근다.

 

구분

내용

기능 잠금

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Policies\Microsoft\Windows\DisableCMD

HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD

HKCU\Software\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

[표 2] 기능 비활성화 레지스트리 목록



[그림 6] 작업관리자 기능 비활성화[그림 6] 작업관리자 기능 비활성화






3-4. 자동 실행 등록 및 재부팅

해당 랜섬웨어는 재부팅시 자동으로 실행될 수 있도록 레지스트리에 “UpdateBackup”이라는 이름으로 자신을 등록한다. 그리고 아래[표3] 와 같이 “shutdown.exe”를 사용하여 모든 프로세스를 종료시키고 재부팅한다.


[그림 7] 자동 실행 등록[그림 7] 자동 실행 등록



 

 

구분

내용

Command Line

"C:\Windows\System32\shutdown.exe" -r –t 00 -f

[3] 사용자 PC 재부팅




3-5. 결제 안내

재부팅 후 해당 랜섬웨어는 사용자에게 랜섬노트를 표시한다. 또한 사용자에게 암호화된 파일을 복구하기 위한 비용으로 0.1비트코인을 요구한다. 지불을 위해 왼쪽 상단에 “Credits”버튼을 누르면 아래와 같이 창이 출력되며, 해당 랜섬웨어 개발자의 “Discord” 메신저 아이디가 적혀 있는 것을 볼 수 있다.


[그림 8] 결제 안내[그림 8] 결제 안내






3-6. MBR 변조

애나벨 랜섬웨어는 랜섬노트 속 시간이 지나면 MBR을 변조하여 강제로 재 부팅시키며, 사용자의 정상적인 부팅을 막는다. 모든 동작을 수행한 뒤 애나벨 랜섬웨어는 아래와 같은 화면을 출력한다.


[그림 9] 변조된 MBR[그림 9] 변조된 MBR





4. 결론

이번 보고서에서 알아 본 "Annabelle Ransomware"는 일반적인 랜섬웨어들처럼 파일을 암호화하여 금전을 노리는 목적보다 자신의 실력을 과시하는 목적으로 만들어 진 것으로 보여진다. 다른 랜섬웨어 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 사용자를 노리는 랜섬웨어들이 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면