[랜섬웨어 분석]‘Desu’ 랜섬웨어 감염 주의

‘Desu’ 랜섬웨어 감염 주의

 

1. 개요

본 보고서에서 다루게 될 ‘Desu’ 랜섬웨어는 특정 확장자 파일을 암호화하고 MBR을 변조하여 운영체제의 정상적인 부팅을 방해한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘.desu’ 라는 문자열을 덧붙여 확장자를 변경한다. 또한, 드라이버 전체를 대상으로 암호화를 진행하기 때문에 감염 시 피해가 클 것으로 예상한다.

 

이번 보고서에서는 ‘Desu’ 랜섬웨어에 대해서 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	260,608 byte
진단명	Ransom/W32.Desu.260608
악성동작	파일 암호화

 

 

 

2-2. 실행 과정

Desu’ 랜섬웨어는 MBR 변조 후 연결된 논리 드라이브를 확인하여 하위 모든 파일에 대해 암호화를 시도한다. 대상 폴더 마다 랜섬노트를 생성하며, 특정 확장자 파일에 대해서만 암호화를 진행한다. 암호화가 마무리되면 명령어를 통해 재부팅을 수행하며, 변조된 MBR로 인해 정상적인 부팅이 불가하게 된다.

 

3. 악성 동작

3-1. MBR 변조

‘Dese’ 랜섬웨어 실행 시 MBR을 변조하여 정상적인 부팅을 막는다. 아래 그림은 변조된 MBR의 일부 내용이다.

 

 

[그림 1] 변조된 MBR의 일부 내용

 

3-2. 파일 암호화

또한, 암호화 대상 드라이브를 지정하기 위해 연결된 논리 드라이브를 확인한다.

 

 

[그림 2] 암호화 대상 드라이브 확인

 

 

 

대상 드라이브가 확인되면 해당 드라이브의 모든 경로에 대한 암호화를 시도하며 폴더 마다 ‘@_DECRYPT_@.txt’, ‘@_DECRYPT2_@.txt’, ‘@_DECRYPT3_@.txt’ 라는 파일명으로 세 개의 랜섬노트를 생성한다. 랜섬노트의 내용은 모두 동일하며 복호화를 조건으로 200$를 요구하는 내용이 담겨있다.

 

 

[그림 3] 랜섬노트

 

 

 

또한, 아래와 같이 지정된 확장자에 대해서만 암호화를 진행한다.

 

 

구분

내용

암호화 대상 확장자

jnt, 1CD, dt, cf, 1c, doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, ai, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, pl, vb, vbs, ps1, bat, cmd, js, asm, pas, cpp, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds…

 

[표 1] 암호화 대상 확장자

 

 

3-3. 시스템 재부팅

모든 지정 대상에 대한 암호화 작업이 완료되면 아래와 같은 명령어를 통해 시스템을 재부팅 시킨다.

 

 

[그림 4] 재부팅 수행

 

 

 

앞서 MBR을 변조하였기 때문에 운영체제까지 정상적인 부팅이 되지않고 공격자의 코드가 실행되어 아래와 같은 화면을 출력한다. 아래 화면에서는 파일이 암호화 되었음을 알리며, 정상적인 부팅을 위해 키 입력을 요구한다.

 

 

[그림 5] 변조된 MBR

 

 

4. 결론

이번 ‘Desu’ 랜섬웨어는 MBR 변조 및 파일 암호화를 통해 사용자의 정상적인 데이터 접근을 방해한다. 모든 경로에 대한 암호화를 시도하는 것뿐만 아니라 MBR 변조로 인해 정상적인 부팅이 불가하여 감염 시 피해가 클 것으로 예상된다. 파일 암호화로 인한 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 주기적으로 별도 보관해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

 

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능