분석 정보/랜섬웨어 분석 정보

새롭게 발견된 Spartacus 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 5. 17. 13:42

새롭게 발견된 ‘Spartacus’ 랜섬웨어 감염 주의


1. 개요 


최근, ‘Spartacus’ 라는 이름의 새로운 랜섬웨어가 발견되었다. 해외 한 보안사이트에 의하면 "Spartacus 랜섬웨어의 코드가 Satyr, Blackheart 랜섬웨어와 거의 동일하다” 고 언급하고 있다. ‘Spartacus’ 랜섬웨어는 실행 시 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 암호화를 시도하며, 별도의 통신은 하지 않고 복호화를 빌미로 가상화폐를 요구한다.


이번 보고서에서는 새롭게 발견된 ‘Spartacus’ 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SF.exe

파일크기

96,768 byte

진단명

Ransom/W32.Spartacus.96768

악성동작

파일 암호화




2-2. 동작 방식

‘Spartacus’ 랜섬웨어는 최초 ‘CheckRunProgram’ 함수를 사용하여 자기 자신의 중복 실행을 확인한 후 단일 실행이      확인되면 지정된 경로와 논리 드라이브를 대상으로 암호화를 진행한다. 또한, 시스템 복원 기능을 무력화시키기 위해 볼륨   쉐도우 복사본을 삭제한다. 아래 그림은 ‘Mutex’ 함수를 통해 중복 실행을 방지하는 ‘Spartacus’ 랜섬웨어 코드의 일부이다.


[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드





3. 악성 동작


3-1. 파일 암호화

중복 실행에 대한 확인이 끝나면 아래 그림과 같이 ‘KeyGenerator.GetUniqueKey’ 함수를 통해 암호화에 사용할 AES 키를 생성한다. 또한, 암호화할 대상 경로를 변수에 저장하고 해당 경로의 파일을 암호화한다.


[그림 2] AES 키 생성 및 암호화 대상 경로 저장[그림 2] AES 키 생성 및 암호화 대상 경로 저장




그뿐만 아니라 아래와 같이 ‘Directory.GetLogicalDrives’ 함수를 사용하여 논리 드라이브를 검색하고 해당 드라이브 내의 파일 암호화를 시도한다. 단, 파일 암호화에 앞서 확장자 ‘.Spartacus’인 파일에 대해서는 암호화를 진행하지 않는다. 암호화가 완료된 파일은 원본 파일명 뒤에 ‘.[MastersRecovery@protonmail.com].Spartacus’를 붙여 파일명을 변경한다.



[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴



[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드



[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일




3-2. 시스템 복원 기능 무력화

또한, 시스템 복원 기능을 무력화하기 위해 윈도우 명령 처리기를 사용하여 볼륨 쉐도우 복사본을 삭제한다.


[그림 6] 볼륨 쉐도우 복사본 삭제[그림 6] 볼륨 쉐도우 복사본 삭제




3-3. 금전 요구


랜섬노트에는 파일이 암호화되었음을 안내하면서 복구하기 위해서는 생성된 ‘personal ID KEY’를 특정 이메일로 전송하고 가상화폐를 지급해야 한다는 내용이 담겨있다.


[그림 7] Spartacus 랜섬노트[그림 7] Spartacus 랜섬노트





4. 결론

새롭게 발견된 ‘Spartacus’ 랜섬웨어는 파일 암호화 및 시스템 복원 기능을 무력화시키는 비교적 단순한 형태의 랜섬웨어이다. 하지만 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 파일을 암호화하고 있어 감염 시 피해가      클 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 별도로 보관해야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면




[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면