특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

Paradise 랜섬웨어 주의


1. 개요 


다양한 악성코드 중에서도 랜섬웨어의 경우, 하나의 코드에서 파생되어 다양한 변종들이 생성됐을 만큼 많은 비중을 차지하고 있다.


과거에도 사용자의 파일을 사용하지 못하게 만드는 악성코드는 다수 존재했지만, 거래내역을 추적 당할 위험이 높아 쉽게 금전을 요구하지 못했을 것으로 추측된다. 


최근 몇 년 사이에 가상화폐나 Tor-브라우저 등의 거래 추적이 어렵다는 특징을 악용한 사이버 범죄가 기승을 부리고 있다. 이러한 문제가 해결되기 전까지 랜섬웨어와 같은 악성코드도 끊임없이 등장할 것이다.


이번 보고서에서는 사용자의 파일을 암호화 하는 'Paradise 랜섬웨어' 에 대해서 알아보자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DP_Main.exe

파일크기

36,864 byte

악성동작

파일 암호화






2-2. 유포 경로

'Paradise ransomware' 의 정확한 유포 경로는 밝혀지지 않았으나, 스팸메일의 첨부파일을 통해서 유포되었을 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시 자신의 복사본을 생성하여 자동시작되도록 등록한다. 

암호화를 하기 전에 커맨드 프롬프트를 이용하여 특정 인자 값을 통해서 볼륨 쉐도우 서비스를 사용하지 못하도록 한다.


이후 드라이브 하위에서 폴더들을 검색하여 공격자가 지정해 놓은 특정 폴더들에 대해서는 암호화를 진행하지 않으며, 그 외에 폴더를 발견할 경우 폴더 내의 파일들을 탐색하여 모든 파일을 암호화 한다.


암호화 완료 후 암호화한 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 특정 서버로 보내려는 코드가 존재한다.


위와 같은 모든 동작이 끝난 뒤, 해당 랜섬웨어는 암호화 동작을 할 때 생성했던 랜섬노트를 실행시켜 아래 [그림 1] 과 같이 암호화 사실을 알리고 복호화 방법에 대해 설명한다.


[그림 1] 랜섬노트







3. 악성 동작


3-1. 자동 시작 등록

악성 파일은 자기 자신을 복사하여 [그림 2] 와 같은 경로에 생성하고, 어떤 상황이 발생하더라도 재감염 시킬 수 있도록 자동시작 레지스트리값에 복사본을 등록하여 윈도우 재부팅 시에도 동작할 수 있도록 한다.


[그림 2] 복사본 생성[그림 2] 복사본 생성




[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록






3-2. 볼륨 쉐도우 삭제

암호화를 진행하기 전, 사용자가 복원 기능을 수행하지 못하게 하도록 Volume Shadow Copy Service (VSS) 를 삭제한다.


[그림 4] 복원 서비스 삭제[그림 4] 복원 서비스 삭제





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 탐색 중인 드라이브 하위에서 아래와 같이 공격자가 지정해 놓은 특정 폴더를 제외하고 모든 파일을 암호화한다.


[그림 5] 제외 폴더 목록[그림 5] 제외 폴더 목록




암호화를 끝마친 파일의 경우 아래와 같은 형태로 [원본파일명] + [ID] + [이메일주소].paradise 로 파일명을 변경하여 저장된다.


[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일






3-4. 정보 전송

모든 작업을 끝마친 랜섬웨어는 지정한 서버로 암호화 시킨 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 전송하는 코드가 존재하지만 지정해둔 특정 서버가 localhost 로 설정되어 있어 정보가 전송되지 않는다.

현재는 사용하지 않는 기능이거나 프로그램을 제작하는데 있어서 잘못 제작된 것으로 추정해볼 수 있다.


[그림 7] 정보 전송 코드[그림 7] 정보 전송 코드







4. 결론

이번 보고서에서 알아본 'Paradise Ransomware' 는 다른 랜섬웨어들에 비해서 많은 피해 사례가 발생하지는 않았지만 사용자의 PC 에 있는 파일들을 암호화 하기 때문에 가볍게 생각할 수 없다. 

대부분의 랜섬웨어의 경우, 복호화가 거의 불가능하기 때문에 크게 이슈가 되지 않은 랜섬웨어라도 사용자의 각별한 주의가 필요하다.

신뢰할 수 없는 사이트에서 다운받는 파일이나 메일의 첨부파일 등을 실행할 때 주의를 기울이고 사용하는 백신이나 OS 를 항상 최신버전으로 업데이트 하여 사용해야 한다.

nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화 하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON

Zenis 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다.


이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

iis_agent32.exe

파일크기

147,968byte

악성동작

파일 암호화






2-2. 동작 방식

제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일치해야 하고 동시에 레지스트리 값 HKEY_CURRENT_USER\SOFTWARE\ZenisService\Active가 존재하지 않아야 한다. 이는 중복 실행이나 중복 암호화로 인한 문제를 방지하기 위한 것으로 보인다. 아래 그림은 해당 조건을 확인하는 코드이다.


[그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인 [그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인






3. 악성 동작


3-1. 시스템 복원 무력화 및 로그 삭제

위 조건에 충족하여 정상적으로 동작을 수행하게 되면 랜섬노트에 사용할 문구에 연락 이메일 주소를 삽입하여 내용을 완성시킨다. 이후 ‘cmd.exe’를 통해 아래 [표1]과 같은 명령어를 실행시키는데 이는 시스템 복원을 무력화하고 이벤트 로그를 삭제하는 기능을 수행한다.


[그림 2] 랜섬노트 문구를 완성시키는 코드[그림 2] 랜섬노트 문구를 완성시키는 코드


 

명령어

기능

 

vssadmin.exe delete shadows /all /Quiet

볼륨 쉐도우 복사본 삭제

 

WMIC.exe shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

Bcdedit.exe /set {default} recoveryenabled no

복구 모드 사용 안함

 

wevtutil.exe cl Application

응용 프로그램 이벤트 로그 삭제

 

wevtutil.exe cl Security

보안 이벤트 로그 삭제

 

wevtutil.exe cl System

시스템 이벤트 로그 삭제

[표 1] 명령어를 통한 시스템 복원 무력화 및 이벤트 로그 삭제





3-2. 프로세스 종료

현재 시스템상의 프로세스 이름을 대상으로 아래와 같은 지정된 문자열이 포함되거나 일치할 경우 프로세스를 강제로    종료시킨다.


 

구분

내용

대상 문자열

sql

taskmgr

regedit

backup

[2] 강제 종료 대상의 문자열 목록




3-3. 파일 암호화 및 삭제

이후 지정된 확장자 파일을 대상으로 암호화나 삭제를 진행하는데 파일의 크기가 1024byte 이상이면서 1024000000byte 이하인 파일을 대상으로 한다. 암호화된 파일의 이름은 ‘Zenis-[2byte의 임의의 값].[12byte의 임의의 값]’으로 변경되고 파일 삭제 시 3번의 덮어쓰기 과정을 거쳐 삭제하기 때문에 파일 복원을 어렵게 한다. 

 

구분

내용

암호화 대상 확장자

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa.apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

[표 3] 암호화 대상 확장자 목록




[그림 3] 암호화된 파일[그림 3] 암호화된 파일




 

구분

내용

삭제 대상 확장자

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

[표 4] 삭제 대상 확장자 목록




또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

Windows, Program Files, ProgramData, PerfLogs, $Recycle.Bin, Microsoft, Microsoft Help, Microsoft App, Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone, Silverlight Kits, Temp, Windows Photo Viewer, Windows Protable Devices, Windows Slidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, Public

[표 5] 화이트 리스트 폴더 문자열




암호화된 폴더에는 ‘Zenis-Instructions.html’라는 이름으로 아래와 같은 랜섬노트를 하나씩 생성한다.


[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용






4. 결론

이번 제니스 랜섬웨어는 파일 암호화뿐만 아니라 특정 확장자 파일을 삭제함으로써 파일 복구에 어려움을 주고 있다.    랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 









Posted by nProtect & TACHYON

다시 돌아온 GandCrab Ransomware 감염 주의


1. 개요 


'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.

해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다.


하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다.


이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

137,220 byte

진단명

Ransom/W32.GandCrab.137220

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정된다.






2-3. 실행 과정

'GandCrab Ransomware V2.0' 원본파일을 실행하면 특정 프로세스를 탐색하여 종료하고, 사용자 정보와 함께 사용중인 보안프로세스 정보까지 수집하여 정보를 전송한다.

정보 전송 이후 파일 암호화를 수행 하기 위해 공격자가 지정해 둔 폴더 목록, 파일명, 확장자를 제외하고 모든 파일에 대한 암호화를 진행한다.

또한, 암호화 된 폴더에 'CRAB-DECRYPT.txt' 라는 이름의 랜섬노트를 생성하여 파일 복호화 방법에 대해서 설명한다.


[그림 1] 랜섬노트[그림 1] 랜섬노트







3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 아래와 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 수행하기 위해 쓰기 권한을 안전하게 얻으려는 동작으로 보여진다. 


구분

내용

종료 대상 프로세스 목록

msftesql.exe,  sqlagent.exe,  sqlbrowser.exe,  sqlservr.exe,  sqlwriter.exe,  oracle.exe,  ocssd.exe,  dbsnmp.exe,  synctime.exe,  mydesktopqos.exe,  agntsvc.exe,  isqlplussvc.exe,  xfssvccon.exe,  mydesktopservice.exe,  ocautoupds.exe,  agntsvc.exe,  agntsvc.exe,  agntsvc.exe,  encsvc.exe,  firefoxconfig.exe,  tbirdconfig.exe,  ocomm.exe,  mysqld.exe,  mysqld-nt.exe,  mysqld-opt.exe,  dbeng50.exe,  sqbcoreservice.exe,  excel.exe,  infopath.exe,  msaccess.exe,  mspub.exe,  onenote.exe,  outlook.exe,  powerpnt.exe,  steam.exe,  thebat.exe,  thebat64.exe,  thunderbird.exe,  visio.exe,  winword.exe,  wordpad.exe

[1] 종료 프로세스 목록






3-2. 사용자 정보 탈취

해당 랜섬웨어는 파일 암호화 동작 뿐만 아니라 아래와 같이 사용자의 정보 들을 수집한다. 


구분

내용

수집 정보 목록

pc_user=***********

pc_name=***********

pc_group=WORKGROUP&

av=smcexe&

pc_lang=ko-KR&

pc_keyb=0&

os_major=Windows 7 Home Basic&

os_bit=x86&

ransom_id=***********

hdd=C:FIXED_64422408192/9403342848&

id=2&

subid=2&

[2] 수집 정보 목록



또한, [표 3] 에 작성되어 있는 프로세스가 존재하면 해당 정보도 함께 수집하도록 한다. 


구분

내용

프로세스 리스트

AVP.EXE,  ekrn.exe,  avgnt.exe,  ashDisp.exe,  NortonAntiBot.exe,  Mcshield.exe,  avengine.exe,  cmdagent.exe,  smc.exe,  persfw.exe,  pccpfw.exe,  fsguiexe.exe,  cfp.exe,  msmpeng.exe

[3] 수집 대상 프로세스 목록




필요한 정보 수집이 완료되면 인코딩 과정을 거쳐 공격자의 서버로 전송된다.


[그림 2] 정보 전송 패킷[그림 2] 정보 전송 패킷





3-3. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명과 파일에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani   .cab   .cpl   .cur

.diagcab   .diagpkg   .dll

.drv   .hlp   .icl   .icns

.ico   .ics   .lnk   .key

.idx   .mod   .mpa   .msc

.msp   .msstyles   .msu

.nomedia   .ocx   .prf

.rom   .rtp   .scr   .shs

.spl   .sys   .theme

.themepack   .exe   .bat

.cmd   .CRAB   .crab

.GDCB   .gdcb   .gandcrab

.yassine_lemmou

[4] 화이트 리스트 목록



'GandCrab Ransomware' 는 암호화가 완료되면 원본 파일명에 '.CRAB' 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일






4. 결론

'GandCrab Ransomware' 는 감염을 보다 성공적으로 하기 위해서 유포 방식을 변경하고 있는 것으로 추정된다. 

버전업이 되어 다시 돌아온 만큼, 향후 ’WannaCry’ 나 ‘BadRabbit’ 과 같이 네트워크를 통하여 유포될 가능성도 존재하기 때문에 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정


1. 개요 


최근 랜섬웨어에 대한 피해 사례가 끊임없이 발생되고 있는 가운데, 새로운 랜섬웨어에 대한 내용보다 변종과 관련된 내용이 다수 차지하고 있다.


이는 여러가지 이유가 있겠지만, 그 중에 일부는 자동화 된 도구나 공개된 오픈 소스를 활용하기 때문인 것으로 추측된다.


이번에 발견 된 ‘Hermes’ 랜섬웨어도 지속적으로 업그레이드 되거나 변종이 계속해서 발견되고 있는데 최근 ‘Sundown Exploit Kit’ 을 통해 웹 서핑 도중 감염되는 변종이 확인 되었다. 해당 랜섬웨어는 기존에는 존재하지 않았던 암호화 제외 대상 목록이 존재하며 암호화 후 확장자를 변경시키지 않아 사용자가 감염 여부를 인지하기 어려울 것으로 예상된다.


이번 보고서에는 초기 ‘Hermes’ 랜섬웨어의 초기 버전부터 최근 버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. Hermes 랜섬웨어의 변화

 

구분

특징

시기

초기버전

 확장자명 변경하지 않음, 랜섬 노트 명(DECRYPT_INFORMATION.html)

201702

초기버전(변종)

 암호화 파일의 확장자명 변경 (.hermes)

201702

2.0버전

 감염 대상 파일 확장자 (.hwp)포함 약 810개로 증가

201704

2.1버전

 exe, dll, lnk, ini, hrmlog를 제외한 모든 파일 암호화

201710

2.1버전(변종)

 암호화 파일의 확장자명 변경 (.HRM)

201712

2.1버전(변종)

 ‘Chrome’, ‘Mozila’ 등 감염 제외 폴더 증가

201802

[1] Hermes랜섬웨어 초기버전부터 현재까지 변화





2-2. ‘Hermes 2.1’ 랜섬웨어 분석 정보

해당 악성코드의 분석 정보는 기존에 잉카인터넷 공식 블로그에서 분석한 ‘Hermes2.1’ 랜섬웨어와 동일하다. 아래 링크 주소를 따라가면 동일한 부분에 대해서 참고 할 수 있고, 이번 보고서에서는 차이점 위주로 알아보고자 한다.

‘Hermes 2.1 랜섬웨어 감염 주의’ : http://erteam.tistory.com/1500





2-3. 기존 분석보고서와의 차이점

기존에 분석한 ‘Hermes 2.1’ 랜섬웨어와는 달리 최근 발견된 랜섬웨어는 특정 폴더를 암호화에서 제외 하는데, 백신 제품 설치 폴더가 암호화될 경우 자체 보호 기능에 의해 사용자가 인지 할 수 있는 부분을 우회하기 위한 것으로 추정된다. 이는 과거 초기 ‘Hermes’ 에서는 없었던 것으로 최근 ‘Hermes2.1’ 랜섬웨어에 반영됐다. 암호화에서 제외하는 폴더의 일부는 아래 [그림 1] 과 같이 변수로 지정하여 암호화에서 제외시킨다.


[그림 1] 암호화 제외 폴더[그림 1] 암호화 제외 폴더




해당 랜섬웨어의 암호화 대상이 되는 파일은 기존과는 다르게 5개 확장자를 제외하고 모든 파일을 암호화 한다. 암호화에서 제외가 되는 확장자는 아래 [표 2]와 같다. 


구분

내용

암호화 대상 제외 파일 확장자

.exe .dll .lnk .ini .hrmlog 를 제외한 모든 확장자 암호화

[2] 암호화 대상 제외 파일 확장자 내용





2-4. 초기 버전과 최근 버전의 비교

‘Hermes’ 의 초기 버전과 최근 버전의 랜섬노트는 모두 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트 용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다. 버전의 차이만 있고 내용은 동일하다.


[그림 2] Hermes 초기버전 랜섬노트[그림 2] Hermes 초기버전 랜섬노트




[그림 3] Hermes 2.1 버전 랜섬노트[그림 3] Hermes 2.1 버전 랜섬노트



 

 

초기 Hermes

최근 Hermes

공통점

감염 제외 국가 (러시아, 우크라이나, 벨라루스)

암호화 대상 파일의 확장자를 변경하지 않음

Bat 파일 생성 및 실행하여 볼륨 쉐도우 카피 및 백업 파일 삭제

차이점

감염 제외 폴더

Windows, Microsoft, Program

Windows, AhnLab, Microsoft, Chrome, Mozilla

감염 대상 파일 확장자

txt, doc, zip, xls, jpg 외 약770개 확장자 감염

exe, dll, lnk, ini, hrmlog 5개를 제외한 파일 모두 감염

[3]Hermes 랜섬웨어 초기 버전과 최근 버전의 비교






3. 결론

이번 보고서에서 알아 본 ‘Hermes’ 랜섬웨어는 주로 웹의 취약점을 이용하여 공격을 시도 하기 때문에, 인터넷을 사용함 에 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 백업 파일을 삭제 하므로 중요한 자료는 별도로 백업해 보관해야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON

Qwerty 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다.


이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

find.exe

파일크기

946,702byte

진단명

Ransom/W32.Qwerty.946702

악성동작

파일 암호화




2-2. 동작 방식

쿼티 랜섬웨어는 패키지로 구성되어있어 각각의 파일을 코드에 따라 실행하여 랜섬웨어 기능을 수행한다. 아래 그림에서와   같이 ‘key.bat’ 파일을 실행하면 ‘find.exe’ 파일까지 순차적으로 실행되며, 실행된 ‘find.exe’는 ‘gpg.exe’를 통해 파일을  암호화하여 저장하고 ‘shred.exe’를 통해 원본 파일을 삭제한다.


[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일



아래 그림에서 첫 번째 실행되는 ‘key.bat’ 파일의 내용을 살펴보면 암호화 프로그램인 ‘gpg.exe’ 파일을 사용하여 

‘qwerty-pub.key’ 파일과 ‘ownertrust.txt’ 파일의 데이터를 암호화에 사용할 키(key)로 등록하고 ‘run.js’ 파일을 실행한다. 이후 구성 파일 중 ‘qwerty-pub.key’, ‘ownertrust.txt’, ‘run.js’, ‘key.bat’ 파일을 삭제한다.


[그림 2] key.bat 파일 내용[그림 2] key.bat 파일 내용



실행된 ‘run.js’ 파일은 아래 그림과 같이 암호화 기능을 수행시키는 ‘find.exe’ 파일을 실행한다. 이때 인자를 a부터 z 드라이브를 나타내는 문자열로 설정함으로써 드라이브 전체를 암호화 대상으로 하고 있다.


[그림 3] ‘run.js’ 파일 내용[그림 3] ‘run.js’ 파일 내용







3. 악성 동작


3-1. 프로세스 종료

‘find.exe’ 파일이 실행되면 지정된 프로세스와 자식 프로세스를 강제로 종료시킨다. 지정된 프로세스 명은 아래와 같다.

 

구분

내용

대상 프로세스

sql

1c

chrome.exe

ie.exe

firefox.exe

opera.exe

safari.exe

taskmgr.exe

[1] 강제 종료 대상 프로세스 목록




3-2. 파일 암호화

이후 대상 파일에 대한 암호화를 진행하는데 정상 암호화 도구인 ‘gpg.exe’ 파일을 사용하여 암호화를 진행한다. 하나의 파일에 대한 암호화가 완료되면 확장자를 ‘.[임의의 값].qwerty’로 변경하여 저장하고 ‘shred.exe’ 파일을 실행시켜 원본 파일을 삭제한다. 이와 같은 방식을 반복하여 대상 파일을 암호화한다. 아래 그림은 테스트 파일이 암호화된 화면이다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



[그림 4]와 같이 일부 파일이 암호화되지 않은 것을 확인할 수 있는데 이는 암호화 대상의 폴더명과 파일명에 특정 문자열을 확인하여 해당 문자열이 포함되어 있으면 암호화를 수행하지 않게 설계되어있기 때문이다. 이와 같이 암호화 예외 대상을 구분하기 위한 문자열 목록은 아래와 같다. 

 

구분

내용

화이트 리스트 문자열

Temp

TEMP

windows

Windows

WINDOWS

Program Files

PROGRAM FILES

ProgramData

gnupg

Recycle

README_DECRYPT.txt

.qwerty

.exe

.dll

[2] 화이트 리스트 문자열 목록




암호화된 폴더에 ‘README_DECRYPT.txt’라는 이름으로 랜섬노트가 하나씩 생성되며, 아래와 그림과 같이 컴퓨터가 암호화 되었음을 안내하는 내용과 파일 복구를 위해 72시간 내에 메일을 보내라는 내용을 담고있다. 


[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용




3-3. 시스템 복원 기능 무력화

암호화 이후 시스템 복구를 통한 파일 복원을 방지하기 위해 아래 [표 3]과 같이 명령어를 실행한다.


명령어

기능

 

vssadmin.exe delete shadows /all /quiet

볼륨 쉐도우 복사본 삭제

 

wmic shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

bcdedit.exe bcdedit /set {default} recoveryenabled no

복구 모드 사용 안함

 

wbadmin.exe wbadmin delete catalog -quiet

백업 카탈로그 삭제

[3] 시스템 복원 기능을 무력화하기 위해 사용되는 명령어






4. 결론

이번 쿼티 랜섬웨어는 정상적인 프로그램과 함께 패키지로 구성되어있기 때문에 일반 사용자가 정상 파일로 오인하기 쉬워 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면















Posted by nProtect & TACHYON

공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의 



1. 개요 


최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.

이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Annabelle.exe

파일크기

216,576 bytes

진단명

Ransom/W64.Annabelle.216576

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.




2-3. 실행 과정

애나벨 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 “.ANNABELLE ”라는 확장자를 덧붙인다. 또한, 파일 암호화가 끝나면 컴퓨터를 재부팅시키고 아래 [그림 1]과 같은 랜섬노트를 화면에 출력한다.



[그림 1] 애나벨 랜섬노트[그림 1] 애나벨 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어들처럼 암호화 제외 대상이나 암호화 대상 파일 테이블이 없고, 시스템 내 모든 파일을 정적 키(static key)를 이용하여 암호화 시킨다. 


[그림 2] 파일 암호화[그림 2] 파일 암호화





3-2. 볼륨 쉐도우 복사본 삭제 및 윈도우 방화벽 해제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림 3] 볼륨 쉐도우 삭제[그림 3] 볼륨 쉐도우 삭제



또한, 네트워크 명령 셸인 netsh.exe를 이용하여, 아래와 같은 명령어로 사용자의 윈도우 방화벽을 해제한다.


[그림 4] 윈도우 방화벽 해제[그림 4] 윈도우 방화벽 해제





3-3. 주요 프로그램 실행 불가 및 기능 잠금

애나벨 랜섬웨어는 암호화 동작이 수행 되는 동안, 사용자가 다른 프로그램을 실행하지 못하게 아래의 [표1]의 파일의 레지스트리의 이미지 파일 실행 부분을 수정한다. 


 

구분

내용

레지스트리 변경 대상

taskkill.exe, iexplore.exe, attrib.exe, Autoruns.exe, Autoruns64.exe,b bcdedit.exe, cabinet.dll,chkdsk.exe, chrome.exe, cmd.exe, control.exe, DBGHELP.exe, DCIMAN32.exe, dllhost.exe, firefox.exe, gpedit.msc,ksuser.dll,logoff.exe, microsoftedge.exe, microsoftedgecp.exe, mmc.exe, mpg4dmod.dll,MSASCuiL.exe, msconfig.exe, mspaint.exe, mydocs.dll, notepad++.exe, notepad.exe, opera.exe, powershell.exe, rasman.dll,recoverydrive.exe, rundll.exe, rundll32.exe, secpol.msc,sethc.exe, shellstyle.dll,systemexplorer.exe, taskmgr.exeurl.dll,usbui.dll,UserAccountControlSettings.exe, webcheck.dll,wmplayer.exe, yandex.exe

[표 1] 레지스트리 변경 대상


[그림 5] 주요 프로그램 실행 불가[그림 5] 주요 프로그램 실행 불가




또한, 아래 표와 같이 하기의 레지스트리키를 생성하여 주요 기능을 잠근다.

 

구분

내용

기능 잠금

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Policies\Microsoft\Windows\DisableCMD

HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD

HKCU\Software\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

[표 2] 기능 비활성화 레지스트리 목록



[그림 6] 작업관리자 기능 비활성화[그림 6] 작업관리자 기능 비활성화






3-4. 자동 실행 등록 및 재부팅

해당 랜섬웨어는 재부팅시 자동으로 실행될 수 있도록 레지스트리에 “UpdateBackup”이라는 이름으로 자신을 등록한다. 그리고 아래[표3] 와 같이 “shutdown.exe”를 사용하여 모든 프로세스를 종료시키고 재부팅한다.


[그림 7] 자동 실행 등록[그림 7] 자동 실행 등록



 

 

구분

내용

Command Line

"C:\Windows\System32\shutdown.exe" -r –t 00 -f

[3] 사용자 PC 재부팅




3-5. 결제 안내

재부팅 후 해당 랜섬웨어는 사용자에게 랜섬노트를 표시한다. 또한 사용자에게 암호화된 파일을 복구하기 위한 비용으로 0.1비트코인을 요구한다. 지불을 위해 왼쪽 상단에 “Credits”버튼을 누르면 아래와 같이 창이 출력되며, 해당 랜섬웨어 개발자의 “Discord” 메신저 아이디가 적혀 있는 것을 볼 수 있다.


[그림 8] 결제 안내[그림 8] 결제 안내






3-6. MBR 변조

애나벨 랜섬웨어는 랜섬노트 속 시간이 지나면 MBR을 변조하여 강제로 재 부팅시키며, 사용자의 정상적인 부팅을 막는다. 모든 동작을 수행한 뒤 애나벨 랜섬웨어는 아래와 같은 화면을 출력한다.


[그림 9] 변조된 MBR[그림 9] 변조된 MBR





4. 결론

이번 보고서에서 알아 본 "Annabelle Ransomware"는 일반적인 랜섬웨어들처럼 파일을 암호화하여 금전을 노리는 목적보다 자신의 실력을 과시하는 목적으로 만들어 진 것으로 보여진다. 다른 랜섬웨어 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 사용자를 노리는 랜섬웨어들이 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





Posted by nProtect & TACHYON

새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의


1. 개요 


2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다.


'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.

이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

rapid.exe

파일크기

921,088 byte

진단명

Ransom/W32.Rapid.921088

악성동작

파일 암호화













2-2. 유포 경로

‘rapid ransomware’의 정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 ‘%AppData%’ 경로에 원본파일을 ‘info.exe’로 복사하여 윈도우 부팅 시 자동으로 시작하도록 만든다. 그 후 대상이 되는 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.rapid' 확장자를 덧붙인다. 그리고 활성화 상태를 계속 유지하여 새로운 파일이 생성 될 경우 해당 파일 또한 암호화 하도록 한다.


[그림 1] 복사 된 파일[그림 1] 복사 된 파일








3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.


[그림 2] 자동시작 레지스트리 등록[그림 2] 자동시작 레지스트리 등록





3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 드라이브 하위에서 아래와 같은 파일을 제외하고 시행된다. 이때 확장자를 구분하지 않고 암호화를 진행한다.


[그림 3] 암호화 제외 파일[그림 3] 암호화 제외 파일




암호화된 파일은 아래와 같이 [원본파일명.확장자].rapid 형식으로 파일명 뒤에 rapid를 확장자로 붙여준다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일




또한, 파일 암호화 후에도 활성화 상태를 유지하여 반복적으로 암호화 동작을 수행한다. 이로 인하여 새로 생성되는 파일 또한 암호화가 되도록 한다.





3-3. 데이터베이스 관련 프로세스 종료

'rapid ransomware' 는 암호화와 함께 oracle이나 sqlite 및 sql 같은 데이터베이스와 연관된 프로세스를 종료한다. 이를 수행하기 위해 커맨드 프롬프트에 아래와 같은 명령어를 전달하여 실행한다.


[그림 5] 특정 프로세스 종료[그림 5] 특정 프로세스 종료





3-4. 볼륨 쉐도우 삭제

암호화를 진행한 후에 피해자가 PC를 복원하는 것을 방지하기 위해 3종류의 명령어를 사용하여 복원 지점을 삭제한다.


[그림 6] 복원지점 삭제[그림 6] 복원지점 삭제



3-5. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대해서 복호화 화기 위한 방법으로 랜섬노트에 기록되어 있는 E-MAIL 주소로 연락하라는 내용을 안내하고 있다.


[그림 7] 랜섬노트[그림 7] 랜섬노트






4. 결론

이번 보고서에서 알아 본 'rapid ransomware' 는 아직까지 큰 피해는 발생하지 않았지만 실제 몇몇 피해 및 신고 사례를 갖고있는 랜섬웨어이므로 각별한 주의가 필요하다. 외국 온라인 게시판에서 자신이 관리하는 서버가 타격을 입었다는 게시물들을 통해 서버까지 공격대상에 포함된다고 추정해 볼 수 있다. 이러한 피해를 예방하기 위해 중요한 파일을 백업해두고 신뢰할 수 없는 파일에 대한 실행을 피하는 것이 좋다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능


Posted by nProtect & TACHYON

게임 파일 아이콘으로 위장한 한국어 랜섬웨어 감염 주의


1. 개요 


이번에 발견 된 랜섬웨어는 '히든 티어(Hidden Tear)' 오픈 소스로 작성 된 랜섬웨어로 게임 파일로 위장하여 사용자들의 파일을 암호화하기 때문에 각별한 주의가 필요하다. 해당 랜섬웨어는 일전에 소개되어진 'Korean Locker' 랜섬웨어와 같이 유창한 한국어로 랜섬노트에 복호화 절차를 안내하고 있고, 금전을 요구하는 연락처 또한 'Korean Locker' 와 같기 때문에 같은 제작자에 의해 만들어진 것으로 보여진다.


이번 보고서에서는 게임 파일로 위장하면서 확장자를 '.암호화됨' 으로 변경하는 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Minecraft.exe

파일크기

2,762,752 byte

진단명

Ransom/W32.HiddenTears.2762752

악성동작

파일 암호화













2-2. 실행 과정

이번 랜섬웨어는 바탕화면 경로의 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화한 파일은 파일이름 뒤에     ‘.암호화됨’이라는 확장자를 덧붙이고 암호화가 완료되면 아래 [그림 2]와 같이 국내 메신저로 위장한 랜섬노트를 화면에   출력한다.


[그림 1] 게임 파일로 위장한 랜섬웨어[그림 1] 게임 파일로 위장한 랜섬웨어


 [그림 2] 국내 메신저로 위장한 랜섬노트[그림 2] 국내 메신저로 위장한 랜섬노트






3. 악성 동작


3-1. 파일 암호화

사용자 PC의 바탕화면 경로를 탐색하여 대상이 되는 파일을 암호화한다. 암호화 대상이 되는 파일의 확장자는 아래 [표 1]과 같다.


구분

내용

암호화 대상 파일 확장자

".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd", ".URL", ".kys", ".bat",

[표 1] 암호화 대상 파일 확장자



암호화는 임의의 키 값과 AES(Advanced Encryption Standard) 알고리즘을 통해 진행하며, 암호화 절차는 아래와 같다.

 

[그림 3] 파일 암호화 코드[그림 3] 파일 암호화 코드



구분

내용

암호화 방식

15자리의 임의의 값 생성

② 생성한 값을 Byte로 인코딩

③ 인코딩한 Byte값을 SHA256를 통해 해쉬 계산

④ 계산된 해쉬와 AES 알고리즘을 통해 암호화

[2] 암호화 방식



이번 랜섬웨어는 암호화 후 파일이름 뒤에 ‘.암호화됨이라는 확장자를 덧붙인다. 아래 [그림4]는 암호화된 파일에 대한 화면이다


 [그림 4] 암호화 된 파일[그림 4] 암호화 된 파일




3-2. 작업관리자 비활성화 및 파일 생성

레지스트리 특정 경로(HKCU\Microsoft\Windows\CurrentVersion\Policies\System\)에 ‘DisableTaskMgr’ 값을 생성하여 작업관리자를 사용하지 못하게 한다.


[그림 5] 작업관리자 비활성화 레지스트리 값 ‘DisableTaskMgr’ 생성[그림 5] 작업관리자 비활성화 레지스트리 값 ‘DisableTaskMgr’ 생성



[그림 6] 레지스트리 설정으로 인한 작업관리자 실행 불가[그림 6] 레지스트리 설정으로 인한 작업관리자 실행 불가



또한 당신의 파일이 암호화되었습니다.”라는 문구를 포함한 ‘READ_IT.txt’ 파일을 바탕화면에 생성한다.


[그림 7] ‘READ_IT.txt’ 파일의 암호화 안내 문구[그림 7] ‘READ_IT.txt’ 파일의 암호화 안내 문구






4. 결론

게임 파일과 국내 메신저로 위장한 이번 랜섬웨어는 일반 사용자가 무심코 실행하기 쉬워 각별한 주의가 필요하다.  랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 








Posted by nProtect & TACHYON

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 


1. 개요 


최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인  '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.exe

파일크기

216,576 bytes

진단명

Ransom/W32.KoreanLocker.216576

악성 동작

파일 암호화













2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.





2-3. 실행 과정

‘Korean Locker’ 랜섬웨어는 확장자는 ‘.exe’이지만 PDF 문서 아이콘으로 위장 하고 있다. 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.locked’라는 확장자를 덧붙인다. 또한, 바탕화면에 ‘Readme.txt’ 이름의 랜섬노트를 생성하며, 해당 텍스트 파일을 실행시키면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. 


[그림 1] ‘Korean Locker’ 랜섬노트[그림 1] ‘Korean Locker’ 랜섬노트








3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ‘.locked’라는 확장자를 덧붙인다. 


구분

내용

암호화 대상 파일

확장자

".txt",".hwp",".doc",".docx",".xls",".index",".pdf",".zip",".rar",".css",".lnk",".xlsx",".ppt",

".pptx",".odt", ".jpg",".bmp",".png",".csv",".sql",".mdb",".sln",".php",".asp",".aspx",

".html",".xml",".psd",".bk",".bat", ".mp3",".mp4",".wav",".wma",".avi",".divx",".mkv",

".mpeg",".wmv",".mov",".ogg",".vmv",".cs",".sln", ".suo",".settings",".exe",".log",

".dll",".reg"

[표 1] 암호화 대상 파일 확장자


[그림 2] 파일 암호화[그림 2] 파일 암호화




3-2. 결제 안내

암호화가 진행된 후 바탕화면에 ‘Readme.txt’ 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 한글로 작성된 비트코인 구매 방법을 볼 수 있으며, 암호화된 파일에 대하여 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다. 또한, 하단에 한국 비트코인 거래소를 나열하고 있다. 


[그림 3] 복호화 안내 문구[그림 3] 복호화 안내 문구








4. 결론


이번 보고서에서 알아 본 ‘Korean Locker’ 랜섬웨어는 암호화 동작 외에 기존 랜섬웨어의 볼륨 쉐도우 복사본 삭제, 자동 실행 등록 같은 동작은 하지 않는 것으로 보아 테스트 목적으로 만들어졌을 가능성이 높다. 향후 기능이 추가되어 피해를 입을 수 있으므로 PC를 사용함에 있어 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



Posted by nProtect & TACHYON