[악성코드 분석] 국내 메신저로 위장한 랜섬웨어 분석

국내 메신저로 위장한 랜섬웨어 분석 보고서

---

1. 개요

교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다.

해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 해독 서비스 서버까지 구축한 것으로 보아 유포 목적으로 제작한 것으로 추정된다.

[그림] 암호 해독 서비스

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	sample.exe
파일크기	1,293,824 byte
진단명	Ransom/W32.HiddenTear.1293824
악성동작	사용자 파일 암호화

2-2. 유포 경로

해당 악성코드는 암호화 키가 해커의 서버에 전송되지 않았으며, 해커의 피해자 식별 정보가 하드 코딩된 것으로 보아 랜섬웨어 기능이 제대로 구현되지 않은 개발 단계인 것으로 보인다.

[그림] 하드 코딩된 피해자 식별 정보

2-3. 실행 과정

경로가 바탕화면 영역에 있는 파일 중, 아래 확장자와 일치하는 모든 파일을 암호화하고 랜섬노트를 출력한다. 드라이브 전체가 아닌 바탕화면 영역의 파일만 암호화 한다. 이는 일반적으로 안티-바이러스 제품이 랜섬웨어 차단을 위해 생성하는 루트 디렉토리의 디코이(Decoy) 파일을 암호화하지 않으므로 랜섬웨어 차단 기능을 피해갈 수 있어 각별한 주의가 필요하다.

[그림] 암호화 대상 확장자

[그림] 랜섬노트

3. 악성 동작

3-1. 파일 암호화

이 랜섬웨어는 사용자 디렉토리의 바탕화면을 경로로, 하위 모든 디렉토리의 파일들 중 아래 확장자와 일치하는 파일만이 대상이 된다.

[그림] 암호화 대상

아래 그림과 같이 히든-티어와 동일하게 AES 256 알고리즘으로 암호화가 진행되며, 암호화 완료 후에는 파일명 가장 뒤에 “.암호화됨”이라는 확장자를 붙인다.

[그림] 암호화 루틴

4. 결론

이 랜섬웨어는 암호화 부분의 코드 자체가 히든-티어 랜섬웨어와 다른 점이 없다. 히든-티어는 교육용 오픈소스 랜섬웨어인 만큼 복호화 코드도 함께 공개 되어있다. 만약 해당 랜섬웨어가 유포된다면, 현재 분석한 정보보다 랜섬웨어 기능이 확장 및 진화될 가능성이 크다. 따라서, 사용자는 랜섬웨어 감염을 피하기 위해, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않아야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면