분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 9. 17. 16:29

복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의

1. 개요

본 보고서에서 다루게 될 ‘Termite’ 랜섬웨어는 파일을 암호화하고 랜섬노트를 통해 중국의 특정 블로그 주소를 안내한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 랜섬웨어 버전에 따라 암호화한 파일에 ‘.aaaaaa’, ‘.Xiak’ 등의 문자열을 덧붙여 확장자를 변경한다. 추가적으로 복호화 키를 레지스트리에 저장하기 때문에 해당 키를 사용하여 복구를 시도해 볼 수 있다.

 

이번 보고서에서는 최근 발견된 ‘Termite’ 랜섬웨어에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

599,040 bytes

 진단명

Ransom/W32.Termite.1957888

 악성동작

파일 암호화

 

 

2-2. 실행 과정

‘Termite’ 랜섬웨어는 실행 시 레지스트리에 복호화 키를 저장하고 부팅 시 자동 실행될 수 있도록 자가복제한 파일과 드롭한 파일을 레지스트리에 등록한다. 이후 파일 암호화를 진행하고 드롭한 파일을 실행하여 복호화 키를 입력 받을 수 있는 랜섬노트를 화면에 출력한다. 키 입력 시 암호화된 파일에 대한 복호화가 진행되며, 실행 과정은 아래 그림과 같다.

 

 

[그림 1] ‘Termite’ 랜섬웨어 실행 과정[그림 1] ‘Termite’ 랜섬웨어 실행 과정

 

 

 

 

 

 

3. 악성 동작

3-1. 복호화 키 저장

‘Termite’ 랜섬웨어 실행 시 ‘C:\Windows’ 경로에 ‘Termite.exe’라는 파일명으로 자가복제 후 실행시킨다. 실행된 ‘Termite.exe’ 파일은 암호화한 파일을 복구하는데 사용할 키 값을 아래 레지스트리 경로에 ‘PassWord’라는 값의 데이터로 저장하고 복호화를 수행하는 추가 파일 ‘Payment.exe’를 바탕화면에 드롭한다.

 

 

[그림 2] 복호화 키 저장[그림 2] 복호화 키 저장

 

 

 

 

 

 

3-2. 자동 실행 등록

자기 자신인 ‘Termite.exe’ 파일과 드롭된 ‘Payment.exe’ 파일이 부팅 시 자동 실행될 수 있도록 아래 경로에 레지스트리 값을 생성하고 ‘Payment.exe’ 파일을 실행시킨다.

 

[그림 3] 자동 실행 등록[그림 3] 자동 실행 등록

 

 

 

 

 

 

 

3-3. 파일 암호화

이후 ‘Termite.exe’ 파일은 아래와 같이 암호화를 수행하고 ‘.Xiak’ 문자열을 덧붙여 확장자를 변경한다.

 

[그림 4] ‘Termite’ 랜섬웨어로 암호화된 파일[그림 4] ‘Termite’ 랜섬웨어로 암호화된 파일

 

 

 

 

 

 

3-4. 자동 실행 등록

‘Termite.exe’ 파일에 의해 실행된 ‘Payment.exe’ 파일은 복호화 키를 입력 받을 수 있는 랜섬노트를 띄운다. 랜섬노트에는 중국 블로그 접근 주소(ID)를 안내하고 있다.

 

[그림 5] ‘Termite’ 랜섬노트[그림 5] ‘Termite’ 랜섬노트

 

 

 

 

 

 

만약 ‘Termite’ 랜섬웨어에 의해 파일이 암호화되었다면, 앞서 언급한 저장된 복호화 키 값을 랜섬노트에 입력하여 파일을 원래대로 복구할 수 있다. 아래 [그림 7]는 복호화 키를 입력한 후 ‘Payment.exe’ 파일에 의해 복호화가 완료된 화면이다. 파일 복호화는 암호화 되는 시간보다 오래 걸리고 복호화가 정상적으로 진행되지 않을 수 있다.


[그림 6] 복호화된 파일[그림 6] 복호화된 파일

 

 

 

 

 

또한, 복호화 키 입력 시 자동 실행을 위해 등록된 레지스트리 값이 삭제되어 부팅 시 ‘Termite’ 랜섬웨어가 실행되지 않는다.


4. 결론

이번 ‘Termite’ 랜섬웨어는 파일 암호화를 통해 사용자가 정상적으로 파일을 사용하지 못하게 한다. 레지스트리에 저장된 복호화 키를 사용하여 암호화된 파일을 복구할 수 있지만 정상적으로 복구되지 않을 가능성도 배제할 수 없기 때문에 감염되지 않도록 주의가 필요하다. 파일 암호화로 인한 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 주기적으로 별도 보관해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 8] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 8] TACHYON Internet Security 5.0 랜섬웨어 차단 기능