한국어 지원 Princess 랜섬웨어 분석
1. 개요
최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
nvsvc32.exe |
|
파일크기 |
403,968 byte |
|
진단명 |
Ransom/W32.Princess.403968 |
|
악성동작 |
파일 암호화 |
|
네트워크 |
4*****f*****3**m.onion.link – 공격자 서버 |
2-2. 유포 경로
Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.
2-3. 실행 과정
Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.
![[그림 1] 암호화 완료 후 나타나는 랜섬노트](https://t1.daumcdn.net/cfile/tistory/24681F4757F75C550F)
3. 악성 동작
3-1. 파일 암호화
해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에 “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.
![[그림 2] 암호화된 파일과 랜섬노트](https://t1.daumcdn.net/cfile/tistory/23681F4757F75C7210)
감염대상이 되는 파일 확장자는 아래와 같다.
|
구분 |
내용 |
|
암호화 대상 파일 확장자 |
.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff |
[표 1] 암호화 대상 파일 확장자
3-2. 금액 요구
![[그림 3] 결제 안내 페이지 (1)](https://t1.daumcdn.net/cfile/tistory/2467494857F75CD206)
언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.
![[그림 4] 결제 안내 페이지 (2)](https://t1.daumcdn.net/cfile/tistory/252C8B4D57F75CEA2C)
ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.
![[그림 5] 결제 안내 페이지 (3)](https://t1.daumcdn.net/cfile/tistory/2552E25057F75D0622)
4. 결론
해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다.
랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다.
해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)
![[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/271BC54B57F75D2906)
![[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/267E5F4757F75D3F13)
![[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능](https://t1.daumcdn.net/cfile/tistory/262FED4857F75D6B10)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 (0) | 2016.11.02 |
|---|---|
| [악성코드 분석] Hades Locker로 돌아온 WildFire 랜섬웨어 (0) | 2016.10.27 |
| [악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 (0) | 2016.09.13 |
| [악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의 (0) | 2016.09.07 |
| [악성코드 분석] 말하는 랜섬웨어 Cerber 2 (0) | 2016.08.31 |