[악성코드 분석] BlackHeart Ransomware 주의

BlackHeart Ransomware 주의

1. 개요 

본 보고서에서 다루게 될 ‘BlackHeart Ransomware’ 는 주요 목적인 파일 암호화를 성공적으로 하기 위해, 정상적으로 사용되는 프로그램을 패키지로 묶어 함께 배포하고 있다.

함께 배포되는 정상프로그램은 원격 접속 프로그램으로 해당 랜섬웨어가 실행될 때 함께 실행되어, 사용자의 이목을 끄는 역할로 보여진다.

이번 보고서에서는 ‘BlackHeart Ransomware’ 는 어떤 동작을 수행하는지 간략하게 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	2,102,784 byte
진단명	Trojan/W32.HackTool.2102784
악성동작	악성파일 드롭

구분	내용
파일명	BLACKROUTER.EXE
파일크기	208,896 byte
진단명	Ransom/W32.BlackHeart.208896
악성동작	파일 암호화

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

2-3. 실행 과정

‘BlackHeart Ransomware’ 가 실행되면 ‘%Temp%’ 경로에 암호화를 수행하는 파일과 함께 정상 원격데스크톱 프로그램을 드롭 한다. 이 정상프로그램은 랜섬웨어가 파일 암호화를 성공적으로 수행 하기 위해 전체화면으로 실행되어 사용자의 이목을 끈다. 아래 [그림 1]은 암호화가 완료 된 후 랜섬노트를 사용자 모니터에 출력하고 있는 화면 이다.

[그림 1] 랜섬 노트

3. 악성 동작

3-1. 파일 드롭 및 실행

해당 랜섬웨어는 실행 시, '%Temp%' 경로에 아래와 같이 2개의 파일을 드롭 한다.

[그림 2] 드롭 된 파일

드롭 된 파일들은 랜섬웨어 동작을 수행하는 파일(BLACKROUTER.EXE) 과 정상 프로그램 (원격 접속) 이며, 동일한 아이콘을 사용하는 것으로 보아 암호화 동작 시 원격 데스크톱인것처럼 사용자에게 보이도록 한다.

[그림 3] 드롭퍼와 정상파일 아이콘 비교 및 실행되는 프로세스

3-2. 정상 프로그램 위장

해당 랜섬웨어는 아래 [그림 4] 와 같이 암호화 동작을 사용자가 쉽게 알아차리지 못하도록 하기 위해 원격 데스크톱을 전체화면으로 보여주도록 한다.

[그림 4] 정상 원격 데스크톱 실행화면

3-3. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 아래 [표 1]에 해당하는 폴더명과 확장자를 대상으로 암호화 동작을 수행하는 것으로 확인 된다. 

 

구분	내용
암호화 대상폴더	\Desktop\ %AppData% %UserProfile% %ProgramData% C:\ C:\Users\All Users C:\Users\Default C:\Users\Public
암호회 대상 파일 확장자	.dbf .doc .docx .dt .dwg .efd .elf .epf .erf .exe  .geo .gif .grs .html .ini .jpeg .jpg .lgf .lgp .log .mdb .mft .mkv .mp3 .mp4 .mxl .odt .pdf .pff .php .png .ppt .pptx .psd .rar .rtf .sln .sql .sqlite .st .tiff .txt .vrp .webmp .wmv .xls .xlsx .xml .zip .1cd

[표 1] 암호화 대상 목록

 

 

 

또한, 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 다음과 같이 ‘.BlackRouter’ 확장자를 덧붙인다.

[그림 5] 암호화 된 파일

3-4. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염된 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다.

[그림 6] 볼륨 쉐도우 삭제

4. 결론

이번 보고서에서 알아 본 ‘BlackHeart Ransomware’ 는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 정상적인 프로그램으로 사용자의 이목을 끌고 암호화동작을 수행하기 때문에 이를 알아차리기가 쉽지 않다.

그렇기 때문에 PC를 사용함에 있어 항상 주의를 기울이고 의도하지 않은 프로그램이 실행 될 경우 악성코드에 의한 감염이 아닌지 의심해 볼 여지가 있다.

랜섬웨어에 의한 피해는 복구가 거의 불가능하며 이러한 피해를 미리 예방하기 위해서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다. 또한, 중요한 자료를 여러곳에 미리 백업해 두는 습관을 들이도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면