동향 리포트/월간 동향 리포트

[랜섬웨어 분석]11월 랜섬웨어 동향 및 Aurora / Zorro 랜섬웨어

TACHYON & ISARC 2018. 12. 7. 09:53

11월 랜섬웨어 동향 및 Aurora / Zorro 랜섬웨어

1. 11월 랜섬웨어 동향

2018년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 GandCrab 랜섬웨어가 다양한 방법을 통해 유포 되며 사용자들에게 피해를 입혔으며, 해외에서는 말레이시아에서 Media Prima 그룹이 랜섬웨어 피해를 받았고, 러시아에서는 모스크바에 있는 케이블카 시스템이 랜섬웨어에 감염되어 일정기간 운행이 중지되기도 했다.

이번 보고서에서는 11월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 11월 말 등장한 Aurora / Zorro 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.


 

1-1. 국내/외 랜섬웨어 피해 사례

GandCrab 랜섬웨어 피해 사례

이번달에는 GandCrab 랜섬웨어가 다양한 유포 방식을 통해 사용자들을 괴롭혔다. 11월 초에는 글로벌 백신업체를 사칭해서 유포 되었고, 중순이후에는 입사지원서와 무료폰트 다운 등으로 위장해 유포되었다. 또한 11월 말에는 고용노동부 까지 사칭하며 버전에는 변화가 없었지만 유포 방식이 다양하게 변화 하였으므로 사용자들은 주의를 기울일 필요가 있다.

 

[그림 1] 갠드크랩 v5.0.4 랜섬노트[그림 1] 갠드크랩 v5.0.4 랜섬노트

 

 

 

말레이시아 미디어 회사 랜섬웨어 피해 사례

11월 중순, 말레이시아의 거대 미디어 회사인 Media Prima는 랜섬웨어 공격을 받았다. 약 4일 간의 랜섬웨어 공격이 펼쳐졌고, 공격자는 회사의 몸값으로 약 645만 달러에 이르는 비트코인을 요구한 것으로 밝혀졌다. 그러나 회사측은 몸값 지불을 거부한 것으로 밝혔고, 랜섬웨어 종류나 피해 상황에 대한 언급은 더 이상 없었다.

 

 

러시아 모스크바의 케이블카 랜섬웨어 피해 사례

11월 말, 러시아의 모스크바에 새로 연 케이블카 시스템이 랜섬웨어 공격을 받았다. 35개의 케이블카가 중단 되었으나, 인명피해 없이 모두 안전하게 착륙시킨 것으로 알려졌다. 담당 기관은 다음날 보안 감사를 통해 랜섬웨어를 제거한 것으로 밝혔고, 감염된 랜섬웨어의 종류나 랜섬머니 지불 여부 등 자세한 내용은 알려지지 않았다.

 

[그림 2] 모스크바의 케이블카 시스템[그림 2] 모스크바의 케이블카 시스템

 

 

 

1-2. 신종 및 변종 랜섬웨어

DiskCryptor 랜섬웨어

11월 초에 발견된 이 랜섬웨어는 DiskCryptor 라는 오픈 소스 디스크 암호화 툴을 시스템에 설치하고, 시스템을 재부팅한 후 랜섬노트를 피해자에게 보여준다. 이러한 공격을 예방하기 위해서는 시스템을 백업해두는 것이 가장 안전한 방법이다. 한편 과거에도 Bad Rabbit 랜섬웨어에서 오픈소스 툴인 DiskCryptor 를 이용한 사례도 있는 만큼 DiskCryptor 사용에 주의를 기울여야 한다.

 

[그림 3] DiskCryptor 랜섬웨어 랜섬노트[그림 3] DiskCryptor 랜섬웨어 랜섬노트

 

 

 

Dharma 랜섬웨어

Crysis 랜섬웨어 라고도 불리는 이 랜섬웨어는 2006년 초에 처음 등장했으며 그 이후로 수많은 변종을 등장 시켰다. 최근에 등장한 Dharma 랜섬웨어는 암호화 후 .tron 라는 확장자를 추가하며, FILES ENCRYPTED.txt 라는 이름의 랜섬노트를 생성한다. 올해에만 .adobe, .AUDIT, .cccmn 등을 추가하는 다양한 변종이 발견 되었으므로 앞으로도 다양한 종류의 변종의 출현이 예상된다.

 

[그림 4] Dharma 랜섬웨어 랜섬노트[그림 4] Dharma 랜섬웨어 랜섬노트

 

 

 

Aurora / Zorro 랜섬웨어

2018년 6월 처음 발견된 이 랜섬웨어는 Aurora 랜섬웨어로 불렸지만, 현재 11월 Zorro 랜섬웨어로 불린다. 암호화 후 .aurora 라는 확장자를 추가하며, 랜섬노트에 Zorro 랜섬웨어 라고 명시되어 있다. 또한 아직 배포방식에 대해서 정확히 알려지진 않았지만, RDP(원격 데스크톱 서비스)를 실행하는 컴퓨터에 주로 감염되는 것으로 알려져 있어 RDP를 사용하지 않을 때, 올바르게 잠겨 있는지 확인하는 습관이 필요하다.


2. Aurora / Zorro 랜섬웨어 분석보고서

11월 말 등장한 Zorro 랜섬웨어는 2018년 6월 등장했던 Aurora 랜섬웨어의 변종으로 보인다. 암호화 후 .aurora 라는 확장자를 덧붙이며, 바탕화면을 변경해 사용자에게 감염사실을 알린다.

이번 보고서에서는 Zorro 랜섬웨어의 동작에 대해 알아보고자 한다.

 

2-1. 파일 정보

구분 

내용 

 파일명

 [임의의 파일명].exe

파일크기

 1,113,600 byte

 진단명

 Ransom/W32.Aurora.1113600

 악성동작

 파일 암호화

 


2-2. 유포 경로

해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 실행하는 컴퓨터에 주로 감염되는 것으로 알려졌지만, 아직 정확한 유포경로는 밝혀지지 않았다.


2-3. 실행 과정

Zorro 랜섬웨어 실행 시, https://www.geoplugin.net 에 연결하여 사용자의 IP 주소를 기반으로 지리적 위치를 알아낸다.또한 대상이 되는 파일을 찾아 암호화를 진행하고, .aurora 라는 확장자를 덧붙인다. 암호화가 완료 된 후 바탕화면을 변경해 사용자에게 감염사실을 알리고, 결제방법을 안내한다.

 

[그림 5] Zorro 랜섬웨어 랜섬노트[그림 5] Zorro 랜섬웨어 랜섬노트

 

 

 

3. 악성동작

3-1. 사용자 위치 파악

해당 랜섬웨어가 실행되면 ‘https://www.geoplugin.net’ 에 연결해 사용자 IP 주소를 기반으로 지리적 위치를 알아낸다. 이렇게 알아낸 정보는 공격자에게 전송된다.

 

[그림 6] 사용자 정보[그림 6] 사용자 정보

 

 

 

3-2. 파일 암호화

해당 랜섬웨어는 암호화 한 뒤 [그림 7] 과 같이 .aurora 확장자를 덧붙인다. 또한 암호화를 완료한 폴더에 ‘!-GET_MYM_FILES-!.txt’, ‘#RECOVERY-PC#.txt’, ‘@RESTORE-FILES_@.txt’ 라는 이름을 가진 3가지 랜섬노트를 생성하는데 해당 내용은 모두 같다.

 

[그림 7] 암호화 된 파일[그림 7] 암호화 된 파일

 

 

 

 

 

 

또한 아래 [표 1] 의 조건에 해당하는 확장자를 가진 파일에 대해서만 암호화 동작을 수행한다.

구분 

내용 

 암호화

대상 확장자

.jnt .1CD .dt .cf .1c .doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123
.wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt
.xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm .ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx
.sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso.vcd

.bmp .png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp
.mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php .jsp
.brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .pas .cpp .cs .suo .sln .ldf .mdf .ibd .myi .myd

.frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std
.sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12
.csr .srt .key .pfx .der

 

[표 1] 암호화 대상 확장자


 

 

 

 

암호화 동작 후에 아래 [그림 8] 과 같이 바탕화면이 변해 사용자에게 감염 사실을 알린다.

 

[그림 8] 감염 후 바탕화면[그림 8] 감염 후 바탕화면

 

 

 

 

4. 결론

Zorro 랜섬웨어는 Aurora 랜섬웨어의 변종으로 추정되므로 앞으로도 다른 변종이 발견 될 가능성이 있다. 또한 정확한 유포경로가 불확실한 만큼 평소 PC사용에 있어서 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 10] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 10] TACHYON Internet Security 5.0 랜섬웨어 차단 기능