일본 기업을 표적으로 하는 Oni 랜섬웨어 유포 주의 


1. 개요 


최근, ‘NotPetya’ 과 ‘Bad Rabbit’ 등과 같이 기업을 표적으로 하는 랜섬웨어가 기승을 부리고 있다. 이번에는 일본 기업을 표적으로 하는 ‘Oni’라는 랜섬웨어가 등장해 사용자의 주의를 요하고 있다. 해당 랜섬웨어는 일본어로 쓰여진 랜섬노트가 특징이다. 파일을 암호화 한 후 확장자를 ‘. oni’로 변경하기 때문에 해당 랜섬웨어는 ‘Oni’로 명명 되었다. 


이번 분석 보고서에서는 ‘Oni’ 랜섬웨어 유포 사례를 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Oni.exe

파일크기

99,840 byte

진단명

Ransom/W32.Oni.99840

악성 동작

파일 암호화










2-2. 유포 경로

해당 랜섬웨어는 ‘領收証(영수증)’ 이라는 제목의 메일에, 매크로가 포함된 악성 문서 파일을 ‘.zip’으로 압축 및 첨부하여 주로 일본 기업 등에 유포되고 있는 것으로 확인된다. 메일을 받은 사용자가 압축을 풀고 문서를 열면 매크로가 실행되어 감염되기 때문에 사용자가 무의식적으로 해당 파일을 다운로드하고 압축해제 및 실행할 가능성이 높아 각별한 주의가 필요하다.


[그림 1] 이메일 유포 사례 (출처: Cybereason)[그림 1] 이메일 유포 사례 (출처: Cybereason)




2-3. 실행 과정

실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.oni’라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 ‘!!!README!!!.html’ 라는 파일명의 랜섬노트를 생성한다. 해당 html파일을 실행하면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. (랜섬노트를 번역한 내용은 [표 1]과 같다.)


[그림 2] “Oni” 랜섬노트[그림 2] “Oni” 랜섬노트


 

원문

번역

랜섬노트

내용

すべてのファイルは、RSA-2048およびAES-256で暗化されています。

心配しないで、すべてのファイルを元にすことができます。

すべてのファイルを素早く安全に復元できることを保します。

ファイルを回復する手順については、お問い合わせ。

性を明するために、2ファイルを無料で解できます。

ファイルと個人IDを私たちにお送りください。

(ファイルサイズ10MB、機密情報なし)

모든 파일은 RSA-2048 AES-256암호로 암호화되고 있습니다.

걱정하지 말고, 모든 파일을 되돌릴 수 있습니다.

모든 파일을 재빨리 안전하게 복원할 수 있음을 보증합니다.

파일을 회복하는 절차에 대해서는 문의.

신뢰성을 증명하기 위해서, 2파일을 무료로 되살릴 수 있습니다. 파일과 개인 ID를 우리에게 보내세요.

(파일 사이즈 10MB미만, 기밀 정보 없음)

[ 1] 랜섬노트 내용






3. 악성 동작


3-1. 파일 암호화 및 프로세스 종료

해당 랜섬웨어는 존재하지 않는 확장자를 포함한 모든 확장자에 대해서 암호화 동작을 수행하고 원본 확장자 뒤에 ".oni"라는 확장자를 덧붙인다. 그리고 아래 [표2]와 같이 특정 폴더에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

암호화 대상 제외 문자열

“Windows”

“Microsoft”

“Microsoft Help”

“Windows App Certification Kit”

“Windows Defender”

“ESET”

“COMODO”

“Windows NT”

“Windows Kits”

“Windows Mail”

“Windows Media Player”

“Windows Multimedia Platform”

“Windows Phone Kits”

“Windows Phone Silverlight Kits”

“Windows Photo Viewer”

“Windows Portable Devices”

“Windows Sidebar”

“Windows PowerShell”

“Temp”

“NVIDIA Corporation”

“Microsoft.NET”

“Internet Explorer”

“Microsoft Shared”

“Common Files”

“McAfee”

“Avira”

“spytech software”

“sysconfig”

“Avast”

“Dr.Web”

“Symantec”

“Symantec_Client_Security”

“system volume information”

“AVG”

“Outlook Express”

“Movie Maker”

“Chrome”

“Mozilla Firefox”

“Opera”

“YandexBrowser”

“ntldr”

“wsus”

“Wsus”

[2] 암호화 제외 경로 문자열


[그림 3] 파일 암호화[그림 3] 파일 암호화




또한 현재 사용자가 사용중인 파일들도 암호화 하기 위하여 메일, 데이터베이스와 관련된 특정 프로세스들을 검색한 뒤 종료 한다. 검색 및 종료 대상 프로세스는 다음과 같다.


구분

내용

대상 프로세스

"ssms", "sql", "outlook" , "postgre"

[3] 검색 및 종료 대상 프로세스




3-2. 볼륨 쉐도우 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.  


[그림 4] 볼륨 쉐도우 삭제[그림 4] 볼륨 쉐도우 삭제




3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 사용자에게 이메일주소를 안내하고, 암호화된 파일을 복호화 하기 위한 방법으로개인 식별 키를 첨부하여 메일을 보내라는 내용을 담고있다. 하지만 이메일을 보내면 암호화를 풀어주는 조건으로 비트코인등 금전을 요구 할 것으로 보여진다.






4. 결론

과거 불특정 다수를 상대로 한 랜섬웨어 공격이 현재 기업을 대상으로 공격하는 시도가 늘어나고 있다. 이번 보고서로 알아본 Oni 랜섬웨어는 일본 기업 대상으로 유포되었기 때문에 국내 사용자들에게는 잘 알려지지 않았지만, 랜섬웨어 특성 상 특정 국가에 국한되지 않고 감염이 되면 모든 파일을 암호화하기 때문에 국내 사용자 역시 큰 피해로 이어질 수 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

상기 악성 코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus / Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

[주의] 이번엔 유럽을 상대로 한 ‘BadRabbit Ransomware’ 감염 주의



1. 개요 


최근, 한국어 시스템을 노린 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 발견 된 지 얼마 지나지 않은데 이어서 이번엔 유럽국가를 상대로 공격을 시도한 ‘BadRabbit Ransomware’ 가 새롭게 발견 되었다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 터키, 독일, 불가리아 등이다.


‘BadRabbit Ransomware’ 에 감염이 되면 대상이 되는 파일을 암호화 할 뿐 아니라, 정상적으로 PC를 사용하지 못하도록 MBR영역까지 수정하기 때문에 국내 사용자도 각별한 주의가 필요하다.


이번 보고서에서는 ‘Adobe Flash Player’ 설치 파일로 위장한 ‘BadRabbit Ransomware’ 에 대해서 알아보고자 한다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

FlashUtil.exe (Adobe Flash Player 설치파일 위장)

파일크기

441,899 byte

진단명

Ransom/W32.BadRabbit.441899

악성동작

드롭퍼










구분

내용

파일명

Infpub.dat

파일크기

410,760 byte

진단명

Ransom/W32.BadRabbit.410760

악성동작

드롭퍼, 파일 암호화, 네트워크 전파











구분

내용

파일명

cscc.dat

파일크기

181,448 byte

동작

디스크 암호화에 사용되는 정상 드라이버









구분

내용

파일명

dispci.exe

파일크기

142,848 byte

진단명

Ransom/W32.BadRabbit.142848

악성동작

MBR 감염













2-2. 유포 경로

‘BadRabbit Ransomware’ 는 사용자가 특정 웹사이트를 방문하였을 때 Drive By Download 방식으로 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어의 원본 실행 파일은 ‘Adobe Flash Player’ 설치 파일로 위장되어 있으며 이 파일이 실행되면 “C:\Winodws\” 경로에 실제 악성 동작을 수행하는 ‘infpub.dat’, ‘dispci.exe’, ‘cscc.dat’ 파일들이 드롭 되어 실행 된다.


그 후 실행된 파일들은 각각의 역할에 따라 사용자 PC의 파일을 찾아 암호화 동작을 수행하거나, 부트 영역을 수정한다. 그리고 해당 작업들이 완료 되면 작업 스케줄러에 등록되어 있는 재부팅 명령에 따라 PC를 재부팅 한다.


재부팅 된 사용자 PC의 부트영역에는 암호화된 파일에 대하여 복호화 하기 위한 방법을 안내하고 있으며 Tor브라우저를 이용하여 비트 코인을 지불하라는 안내문이 작성되어 있는 것을 확인 할 수 있다.


[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일


 




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 하지만 최근 발견된 랜섬웨어들이 원본 파일명을 변경하거나 특정 문자열을 확장자 뒤에 덧붙였던 방법과는 다르게 확장자는 변경되지 않으며 손상된 파일로 표시된다. 손상된 파일을 확인하면 다음과 같이 ‘encrypted’ 라는 특정 시그니처가 추가 된 것을 확인 할 수 있다.


[그림 2] 암호화 된 파일[그림 2] 암호화 된 파일




암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

[1] 암호화 대상 파일 확장자



3-2. 네트워크 감염

‘BadRabbit Ransomware’ 는 더 많은 피해를 발생시켜 금전적 이득을 취하기 위해 감염 된 PC와 연결 된 네트워크를 대상으로 원본 악성코드 전파를 시도 한다. 


[그림 3] 동일 대역 네트워크 검색[그림 3] 동일 대역 네트워크 검색





동일한 네트워크상에 있는 다른 PC들의 IP들을 순차적으로 확인하여 SMB에 설정한 암호가 취약한지 코드 내부에 있는 임의의 계정 및 패스워드를 대입한다. 만약 SMB에 설정한 암호와 대입한 계정 및 패스워드가 일치 할 경우 추가적으로 악성코드를 ADMIN$ 공유폴더에 생성한다


[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파


 


또한, ‘ADMIN$’ 공유 폴더를 이용하여 성공적으로 악성코드를 생성 시켰다면 동일 네트워크 상에 있는 다른 PC에서 ‘wmic’ 명령어를 통해 원격호스트에서 해당 랜섬웨어를 실행되도록 한다. 


[그림 5] ‘wmic.exe’ 를 이용한 원격 실행[그림 5] ‘wmic.exe’ 를 이용한 원격 실행





3-3. 부트 영역 변조

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리나 작업 스케줄러에 암호화 동작을 수행하는 파일을 등록하였던 반면, 해당 랜섬웨어는 MBR영역을 변조하기 위해 아래 [그림 6]와 같이 재부팅 명령을 수행하거나 MBR영역을 변조하는 dispci.exe 파일을 실행하도록 한다.


[그림 6] 등록된 예약 작업[그림 6] 등록된 예약 작업




그리고 파일 암호화가 완료 되면 작업 스케줄러에 등록되어 있는 실행 시간과 명령어가 실행되어 감염 된 PC를 재부팅 한다. 재부팅 후 변조 된 부트영역을 통하여 사용자에게 파일이 암호화 되어 있음을 보여준다.


[그림 7] 감염 된 사용자 PC 부팅 화면[그림 7] 감염 된 사용자 PC 부팅 화면





3-4. 결제 유도

암호화가 완료되면 ‘Readme.txt’ 라는 랜섬 노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 8] 랜섬 노트[그림 8] 랜섬 노트




랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트 코인을 지불하라는 내용을 포함하고 있다.


[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내





4. 결론

이번 보고서에서 알아 본 ‘BadRabbit Ransomware’ 는 현재까지 주로 유럽국가를 상대로 공격을 시도하고 있다. 하지만 해당 랜섬웨어는 파일 암호화 뿐만 아니라 부트 영역을 감염 시켜 사용자를 불편하게 만들고 SMB를 이용한 네트워크 감염을 시도하기 때문에 국내 사용자도 안심 할 순 없다. 일단 감염이 되면 같은 네트워크를 사용하는 공공기관 및 회사에서 큰 피해를 줄 수 있을 것으로 보여 각별한 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면










저작자 표시 비영리 변경 금지
신고
Posted by nProtect

한국 겨냥한 ‘Magniber(=MyRansom) Ransomware’ 감염 주의


1. 개요 


최근, 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 유포되고 있다. 이 랜섬웨어는 Magnitude 와 악명높은 Cerber 랜섬웨어의 합성어로 Magnitude 익스플로잇킷을 이용하여 유포하는 Cerber의 변형된 랜섬웨어이다. 일반적인 랜섬웨어가 여러국가의 불특정 다수를 상대로 유포하여 감염 시키는 것과 달리, 해당 랜섬웨어는 국내 사용자들을 대상으로 암호화하는 동작을 보여주고 있어 사용자들의 각별한 주의가 요구되고 있다.


이번 보고서에서는 한국을 겨냥한 ‘Magniber Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Magniber.exe

파일크기

218,112 byte

진단명

Ransom/W32.Magniber.218112

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

‘Magniber Ransowmare’ 는 ‘Magnitude EK’ 을 이용한 ‘멀버타이징(Malvertising)’ 방식으로 유포되고 있는 것으로 확인 된다. 이 방식은, 정상적인 웹사이트를 방문하던 사용자가 해당 사이트에 포함되어 있는 광고를 함께 로드하면서 해당 사용자가 스크립트가 삽입된 도메인으로 리다이렉트 되고 다시 ‘Magnitude EK’ 도메인으로 리다이렉트 되는 것을 말하며 이를 악용하여 악성코드에 감염되도록 한다.



2-3. 실행 과정

해당 랜섬웨어 파일이 실행되면, 일반적인 랜섬웨어가 운영체제의 언어에 상관없이 암호화 동작을 수행하였던 반면, ‘Magniber Ransomware’ 는 운영체제가 한국어로 되어 있을 경우에만 암호화 동작을 수행하는 것으로 확인된다. 만약 한국어 이외의 운영체제에서 실행 될 경우 암호화 동작을 수행하지 않고 삭제 된다.




3. 악성 동작


3-1. 대상 운영체제 확인

‘Magniber Ransowmare’ 는 일반적인 랜섬웨어 동작과는 다르게 실행 시 다음과 같이 OS의 언어를 확인하여 암호화 동작을 수행할지 여부를 결정 하도록 한다.


[그림 1] 운영체제 언어 확인[그림 1] 운영체제 언어 확인



[그림 2] 대상이 아닐 경우 삭제[그림 2] 대상이 아닐 경우 삭제





3-2. 작업 스케줄러 등록

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리에 등록을 했던 반면, 해당 랜섬웨어는 작업 스케줄러에 다음과 같이 등록하여 재부팅 하고 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.또한 랜섬노트 메시지를 15분 간격으로 보여준다.


[그림 3] 등록된 예약 작업[그림 3] 등록된 예약 작업





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명과 동일한 이름의 확장자를 덧붙인다. 

[그림 4] 대상 파일 암호화[그림 4] 대상 파일 암호화



[그림 5] 는 암호화 된 사용자 파일을 보여준다. ‘Magniber Ransowmare’ 는 유포된 날짜에 따라 원본 파일 이름이 다르기 때문에 확장자 명이 아래와 다를 수 있다.


[그림 5] 암호화 된 파일[그림 5] 암호화 된 파일



암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf,

dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm,

pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi,

vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp,

brd, sch, dch, dip, vb, vbs, ps1, js, asm, pas, cpp, cs, suo, sln, ldf, mdf, ibd, myi, myd,

frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg,

uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw,

ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx,

db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib,

ma, lwo, lws, m3d, mb, obj, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft,

ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf,

db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx,

dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb,

his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2,

ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm,

phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str,

tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr,

 cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean,

bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err,

etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn,

fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf kes,

klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map,

mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt,

psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf,

sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab,

tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt,

vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri,

wsc, wsd, wsh, wtx xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif,

agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss,

bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2,

dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax,

fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d,

icn, icon, icpr, iiq, info, ipx, itc2, iwi, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2,

jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo,

mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt,

cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf,

egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7,

ft8, ft9, ftn, fxg , gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf,

mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1,

sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar,

ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi,

pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5,

ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu,

rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld,

sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak,

tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv,

3g2, mkv, 3gp, mp4, mov avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

[표 1] 암호화 대상 파일 확장자


그리고 해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명에 대해서는 암호화 동작을 수행하지 않는다.

[그림 6] 암호화 제외 대상 폴더[그림 6] 암호화 제외 대상 폴더





3-4. 랜섬 노트

암호화가 진행된 후 대상 폴더에는 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 7] 복호화 안내 문구[그림 7] 복호화 안내 문구



랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트코인을 지불하라는 내용을 포함하고 있다.


[그림 8] 복호화 안내 문구[그림 8] 복호화 안내 문구





4. 결론


이번 보고서에서 알아 본 ‘Magniber Ransomware’는 국내 사용자 OS환경을 대상으로 공격을 시도 하였기 때문에 어느때 보다도 각별한 주의가 필요하다. 또한 최근까지 국내 웹사이트를 이용하여 유포되는 정황이 포착되고 있기 때문에 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Onion3Cry Ransomware’ 감염 주의


1. 개요 


최근 몇 년 사이, 악성코드 제작자들은 악성코드 중에서도 사용자의 중요 파일을 인질로 삼아 금전을 요구하는 랜섬웨어를 수없이 많이 만들어 유포하고 있다.


과거에도 사용자의 PC를 정상적으로 사용할 수 없게 만드는 악성코드는 무수히 많았지만, 금전을 요구하였을 때 거래 추적이 가능했기 때문에 쉽게 금전을 요구하지 못했을 것으로 추측된다.


하지만 비트코인의 발전으로 거래추적이 어렵다는 점을 악용한 사이버 범죄가 기승을 부리고 있어, 이 문제가 해결되지 않는다면 랜섬웨어 또한, 끊임없이 제작되고 발견되어 피해는 계속해서 일어날 것으로 보인다.


이번 보고서에서는 여러 확장자를 암호화하는 ‘Onion3Cry Ransomware’ 에 대하여 간략하게 알아보도록 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

임의의 파일명.exe

파일크기

404,307 byte

악성동작

드롭퍼, 파일 암호화, 금전 요구








구분

내용

파일명

goupdate.exe

파일크기

37,376 byte

악성동작

파일 암호화, 금전 요구








구분

내용

파일명

winupdate.exe

파일크기

37,376 byte

악성동작

가짜 윈도우 업데이트 표시








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 "C:\Users\inca\AppData\Roaming\Local\Gogle\" 경로에  update 이름의 폴더를 생성 하고 실제 암호화 동작을 수행하는 'goupdate.exe' 'winupdate.exe' 파일이 드롭 되어 실행 된다. 


그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.onion3cry-open-DECRYPTMYFILES' 확장자를 덧붙인다. 


[그림 1] 사용자를 속이는 윈도우 업데이트 화면[그림 1] 사용자를 속이는 윈도우 업데이트 화면





3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 파일암호화와 랜섬노트 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 링크 생성[그림 2] 시작 프로그램 경로에 링크 생성




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘. onion3cry-open-DECRYPTMYFILES’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] AES-256 암호화[그림 3] AES-256 암호화


[그림 4] 파일 암호화[그림 4] 파일 암호화


구분

내용

암호화 대상 파일

확장자

".index", ".zip",".rar",".css",".xlsx",".ppt",".pptx",".odt",".jpg",".bmp",".png",".csv",".sql",

".mdb",".sln",".php",".asp",".aspx",".xml",".psd",".bk",".bat",".mp3",".mp4",".wav",

".wma",".avi",".divx",".mkv",".mpeg",".wmv",".mov",".ogg",".tmp",".xlxx",".docxx",

".msi",".dbx",".txt",".pst",".doc",".docx",".xls",".jpg",".pst",".pdf",".MP4",".gbk",".ico",

".xls",".dat",".JPG",".mdw",".REC",             ".DEC",".cns",".RE"

[1] 암호화 대상 파일 확장자



3-3. 랜섬 노트

암호화가 진행되면서 대상 폴더에는 "### DECRYPT MY FILES ###.exe" 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 비트코인에 대한 내용과 함께 특정 이메일로 문의하라는 내용을 포함하고 있다.


[그림 5] 복호화 안내 문구[그림 5] 복호화 안내 문구




4. 결론


이번 보고서에서 알아 본 ‘Onion3Cry Ransomware’ 는 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지는 않았지만 사용자 PC에 있는 중요 파일들에 대해서 암호화 동작을 수행하기 때문에 결코 가볍게만 볼 수는 없다. 이슈가 되지 않은 랜섬웨어라도 항상 주의를 기울여 피해가 발생하지 않도록 하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의


1. 개요 


일반적인 랜섬웨어는 사용자 PC의 파일을 암호화하고 이를 인질로 삼아 복호화를 조건으로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상적으로 운영체제를 사용할 수 있었다.


하지만 최근 일반적인 랜섬웨어의 동작방식과는 다른 컴퓨터 하드디스크의 MBR 코드를 변조시켜 운영체제가 정상적으로부팅하는 것을 막는 랜섬웨어인 ‘RedBoot Ransomware’가 발견되었다.


‘RedBoot Ransomware’ 에 감염되면 파일 암호화만 진행할 뿐 아니라 정상적으로 PC를 사용하지 못하기 때문에 자칫 큰 피해로 이어질 수 있으므로 사용자의 주의가 필요하다.


이번 보고서에서 MBR영역을 변조시키는 ‘RedBoot Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Installer.exe

파일크기

1,246,725 byte

진단명

Ransom/W32.RedBoot.1246725

악성동작

드롭퍼, 파일 암호화, 금전 요구









2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 불특정 다수를 대상으로 유포할 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭되어 실행 된다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 ‘.locked’ 확장자를 덧붙인다. 그리고 재부팅이 수행되어 정상적인 운영체제 부팅을 못하도록 한다. 




3. 악성 동작

3-1. 악성 파일 드롭

‘Redboot Ransomware’ 가 실행되면 악성동작을 하기 위해 아래와 같이 여러 악성 파일들을 사용자 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭 되어 실행 된다.



[그림 1] 드롭 된 파일[그림 1] 드롭 된 파일





구분

내용

assembler.exe

boot.asm 어셈블리 파일을 boot.bin 파일로 컴파일하는데 사용

boot.asm

새롭게 변경될 MBR 어셈블리 코드로 boot.bin 으로 컴파일 되어질 어셈블리 파일

main.exe

사용자 PC의 파일을 암호화하는 목적으로 사용

overwrite.exe

기존의 MBR 영역을 새로 컴파일 된 boot.bin으로 변조시킬 목적으로 사용

protect.exe

작업관리자 및 프로세스 해커와 같은 다양한 프로그램이 실행되는 것을 방지하는데 사용

[1] 드롭 된 파일 용도




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.locked’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

모든 확장자

[2] 암호화 대상 파일 확장자





3-3. MBR 코드 변조

파일 암호화뿐만 아니라 해당 랜섬웨어는 다음과 같이 MBR 영역 또한 변조하며 이 동작이 완료되면 PC를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 사용자가 정상적인 운영체제로 부팅하지 못하도록 만든다.

[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분


[그림 4] MBR 영역 변조 전[그림 4] MBR 영역 변조 전


[그림 5] MBR 영역 변조 후[그림 5] MBR 영역 변조 후






3-4. 복구 안내

파일 암호화가 완료되고 MBR 영역까지 변조가 되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있다. 이메일에 대한 답변으로 금전을 요구할 것으로 추정된다.


[그림 6] 변조 된 MBR영역 랜섬 노트[그림 6] 변조 된 MBR영역 랜섬 노트






4. 결론

이번 보고서에서 알아 본 ‘RedBoot Ransomware’ 와 같이 사용자 PC의 파일을 암호화하고 더 나아가 MBR영역을 변조시키는 랜섬웨어가 첨은 아니기 때문에 특별하지 않다고 느낄 수도 있다. 

하지만 여타 랜섬웨어보다 감염 시 정상적인 운영체제로 부팅하기 어려운만큼 더 큰 피해를 줄 수 있다고 예상되기 때문에 사용자들은 출처가 불분명한 이메일이나 모르는 파일을 실행할 때 항상 주의를 기울여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다시 돌아온 ‘Locky ransomware’ 감염 주의


1. 개요 


지난 9월 ‘Locky ransomware’가 또 다시 유포되어 사용자를 위협하기 시작했다. 이번에 유포되고 있는 ‘Locky ransomware’ 변종은 ‘.7zip’ 또는 ‘.7z’ 형태로 사용자의 이메일에 발송되어 해당 압축파일을 해제 시, 나오는 스크립트 파일을 통하여 추가 랜섬웨어 파일을 다운로드하여 동작한다.


해당 변종 랜섬웨어 감염 시 원본 파일명과 함께 확장자를 ‘.Ykcol’ 변경하고 있으며 사용자 PC내에 있는 대상 파일들을 암호화하고 있기 때문에 사용자들의 주의가 요구된다.


이번 보고서에서는 다시 유포되고 있는 ‘Locky ransomware’ 에 대해 알아보고 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

(임의의 파일명).vbs

파일크기

9,755 byte

진단명

Script/W32.Locky-Crypt-Downloader

악성동작

다운로더












구분

내용

파일명

cCHtRnVpul.exe

파일크기

649,216 byte

진단명

Ransom/W32.Locky.649216

악성동작

파일 암호화, 금전 요구













2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스크립트 파일을 ‘7zip’, ‘7z’ 형태로 이메일에 첨부하여 이를 실행 시 추가적으로 랜섬웨어 실행파일이 다운로드 되도록 유포되고 있는 것으로 확인 된다.




2-3. 실행 과정

이메일에 첨부되어 있는 악성 스크립트 파일이 실행이 되면, 랜섬웨어 실행파일을 %TEMP% 경로에 다운로드 한다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.ykcol’로 변경한다. 그리고 복호화를 방법을 알려주는 랜섬노트를 출력한다. 


[그림 1] 감염 된 사용자 바탕화면[그림 1] 감염 된 사용자 바탕화면





3. 악성 동작


3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE형태의 랜섬웨어 파일을 %TEMP% 경로에 다운로드 하고 실행된다. 해당 파일은 암호화 동작이 수행되면 삭제 된다.



[그림 2] 랜섬웨어 다운로드[그림 2] 랜섬웨어 다운로드


[그림 3] 다운로드 된 랜섬웨어 실행시키는 부분(스크립트 파일)[그림 3] 다운로드 된 랜섬웨어 실행시키는 부분(스크립트 파일)








3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.ykcol’ 로 변경하며, ‘ykcol.htm’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 4] 파일 암호화[그림 4] 파일 암호화



구분

내용

암호화 대상 파일

확장자

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db3, .db_journal, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .n64, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip


[1] 암호화 대상 파일 확장자






3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 결제 페이지로 접속하는 방법을 안내한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트




랜섬노트 방법으로 TOR브라우저를 설치 후 해당 페이지로 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 0.25비트코인을 요구하고 있다.

[그림 6] 결제 안내 페이지[그림 6] 결제 안내 페이지




4. 결론

이번 보고서에서 알아 본 해당 랜섬웨어는 이미 예전부터 많이 알려져 왔다. 하지만 최근 확장자가 변경되어진 변종 ‘Locky ansomware’ 는 여러가지 URL을 이용하여 유포하고 있기 때문에 사용자들은 출처가 불분명한 이메일에 대해서는 항상 주의를 기울여야 한다.또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘AllCry ransomware’ 감염 주의


1. 개요 


추석 연휴 시작에 앞서, 정상 프로그램으로 위장한 랜섬웨어가 발견됐다. 일반적인 랜섬웨어가 문서파일만 암호화 한 뒤 금전을 요구하는 것과 달리, 해당 랜섬웨어는 특정 조건을 만족하는 파일을 제외한 모든 파일을 암호화 한 뒤 금전을 요구한다. 또한, 랜섬노트에 ‘한글’을 지원하는 것으로 보아, 랜섬웨어 제작자는 국내 사용자 역시 대상으로 삼은 것으로 보인다. 이번 보고서에서는 현재 유포되고 있는 ‘AllCry ransomware’ 에 대해 알아본다




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Qbridge.exe

파일크기

727,816 byte

진단명

Trojan/W32.Agent.231936.HM

악성동작

드롭퍼










구분

내용

파일명

winsrv.exe

파일크기

231,936 byte

진단명

Ransom/W32.Agent.727816

악성동작

파일 암호화











2-2. 실행 과정

숙주 파일인 Qbridge.exe 파일이 샐행되면, 기존 프로그램인 Qbridge.exe(숙주파일과 이름만 동일하며 다른 파일) 파일과 AllCry 랜섬웨어인 winsrv.exe 파일이 생성된다. 이후, winsrv.exe 가 실행되며 winsrv.exe 는 암호화 동작을 수행하며, 암호화 사실을 확인해 주는 GUI 프로그램 allcry.exe 와 랜섬노트 readme.txt 파일을 생성한다.





3. 악성 동작


3-1. 파일 드롭 및 실행

숙주파일(Qbridge.exe)은 실행 시, 리소스 데이터를 복호화 하여 원래의 Qbridge.exe 파일과 winsrv.exe 파일을 드롭한다. 이후, 두 개의 파일을 실행시킨 후 종료 된다.



[그림 1] AllCry 랜섬웨어 파일 생성 흐름도[그림 1] AllCry 랜섬웨어 파일 생성 흐름도






3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하나, 암호화 동작 전 특정 원격지에 감염 사용자 정보전송에 실패 할 경우, 암호화를 진행하지 않는다. 현재 분석 시점에서는 해당 원격지에 연결이 되지 않아 암호화를 수행하지 않는다.


암호화 루틴이 동작 할 경우, 현재 실행중인 파일 및 WhiteList 에 등록된 문자열을 포함하지 않은 모든 경로의 모든 파일이 암호화 된다. 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.allcry’ 로 변경한다. WhiteList 에 등록된 문자열은 하기와 같다.


[그림 2] AllCry 원격지 연결 실패[그림 2] AllCry 원격지 연결 실패




C:\\Windows\System32\winsrv.exe / .allcry / .dll / .msi / readme.txt 



 [그림 3] Whitelist 관련 문자열이 포함된 메모리 영역[그림 3] Whitelist 관련 문자열이 포함된 메모리 영역



[그림 4] 암호화 수행 전 특정 폴더의 상태[그림 4] 암호화 수행 전 특정 폴더의 상태



[그림 5] 암호화 수행 후 특정 폴더의 상태[그림 5] 암호화 수행 후 특정 폴더의 상태




3-3. 암호화 확인 프로그램 연결

해당 랜섬웨어는 .allcry 확장자를 가진 파일을 실행 시, 암호화 관련 안내 프로그램인 allcry.exe 가 실행 되도록 레지스트리 값을 수정 한다. 변경되는 레지스트리 값은 하기와 같다.


[그림 6-1] 변경 된 레지스트리 값[그림 6-1] 변경 된 레지스트리 값




[그림 6-2] 변경 된 레지스트리 값[그림 6-2] 변경 된 레지스트리 값




3-4. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 랜섬노트에 작성되어 있는 주소로 금전을 지불할 것을 요구하고 있다.



[그림 7] 암호화 관련 안내 프로그램[그림 7] 암호화 관련 안내 프로그램





[그림 8] 랜섬노트[그림 8] 랜섬노트






4. 결론

이번 보고서에서 분석한 AllCry 랜섬웨어는 특정 문자열만 제외한 모든 파일을 암호화 하기 때문에 원본 파일을 복구하지 않으면, PC 의 정상 사용이 불가능하여 더욱 위협적이다. 사용자들은 출처가 불분명한 파일의 설치 및 실행에 주의를 기울여야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Hacked ransomware’ 감염 주의




1. 개요 


최근 한 보안연구원에 의해 원본파일 확장자명 뒤에 ‘hacked’ 를 덧붙이는 형태의 랜섬웨어가 발견되었다. 


해당 랜섬웨어에 감염이 되면, 윈도우 업데이트를 진행하는 듯한 팝업 화면을 보여주고 사용자 PC의 중요 파일들을 암호화하여 이를 사용할 수 없게 만든다. 그리고 암호화 된 파일에 대해서 금전을 요구하고 있어 사용자들의 주의가 요구된다.


이번 보고서에서는 4개 언어로 복호화 비용을 안내하는 ‘Hacked’ 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

(임의의 파일명).exe

파일크기

2,466,304 byte

진단명

Ransom/W32.Hacked.2466304

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어가 실행되면 윈도우 업데이트를 진행하는 듯한 팝업창을 사용자에게 보여준다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.hacked’ 확장자를 덧붙인다. 그리고 복호화를 안내하는 팝업창과 함께 ‘.TXT’ 형식의 랜섬노트를 바탕화면에 생성한다.


[그림 1] 사용자를 속이는 윈도우 업데이트 진행 화면[그림 1] 사용자를 속이는 윈도우 업데이트 진행 화면


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면







3. 악성 동작


3-1. 작업 스케줄러 등록

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리에 등록을 했던 반면, 해당 랜섬웨어는 작업 스케줄러에 다음과 같이 등록하여 재부팅 하고 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.


[그림 3] 등록된 예약 작업[그림 3] 등록된 예약 작업






3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.hacked’ 라는 확장자가 덧붙여지며, ‘how_to_decrypt_files.txt’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 4] 파일 암호화[그림 4] 파일 암호화



구분

내용

암호화 대상 파일

확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .qss .qst .fx0 .fx1 .ipg .ert .pic .# .img .cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf .m3 .u .m3u8 .wav .mp3 .m4a .m .rm .f .mp2 .mpa .aac .wma .pdf .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z

.tar .7z .tg .rar .ziparc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .accd .sqli .sdf .mdf .myd .frm .odb .mdb .ibd .sql.cgn .wpg .tif.xcf .tiff .xpm .nef .orf .ptx .r3d .raf .rw2 .sr2 .srf .dip

.x3f .log .odg .uop .potx .pot .pptx .rsspptm .aaf .xla .sxd .pns .wpd .wps .msg .pps .xlam .xltx.xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt .xlm .xlc .vsd .ots .prn .ods .hwp .dotm .dotx .docm.docx

.dot .cal .shw .txt .csv .xls .ppt .stw .sx .doc .odm .p .swf.html …

[표 1] 암호화 대상 파일 확장자





3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 랜섬노트에 작성되어 있는 주소로 금전을 지불할 것을 요구하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Hacked Ransomware’ 는 이미 사용자들에게 많이 알려진 ‘Jigsaw Ransomware’의 변종으로 볼 수 있다. 하지만 이러한 유사 랜섬웨어들도 일반적인 랜섬웨어들과 마찬가지로 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 피해를 볼수 있기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘ .SKUNK 확장자를 덧붙이는 ransomware’ 감염 주의




1. 개요 


중요 파일을 암호화하고 이를 인질로 삼아 금전을 요구하는 랜섬웨어는 공격을 성공시키기 위해 여러가지 방법을 이용한다. 


그 중에 가장 많이 사용하는 방법으로 메일 첨부파일로 위장하는 것이다. 이 방법은 사용자가 메일 확인을 통해 쉽게 감염이 되므로 각별한 주의가 필요하다.


이번 보고서에서 다루는 ‘GlobeImposter’ 랜섬웨어는 수없이 많은 랜섬웨어 중 하나로 계속해서 변종이 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.





2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

(임의의 파일명).exe

파일크기

69,632 byte

진단명

Ransom/W32.GlobeImposter.69632

악성동작

파일 암호화, 금전 요구














2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어가 실행되면, 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.SKUNK’ 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 바탕화면에 생성한다.






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.


[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.SKUNK’ 라는 확장자가 덧붙여지며, ‘how_to_back_files.html’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

바탕화면에 있는 모든 확장자

[표 1] 암호화 대상 파일 확장자





3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어는 %TEMP% 경로에 ‘tmp5.tmp.bat’ 파일을 생성하여 사용한다. 이 파일에는 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제하도록 작성되어 있다. 


[그림 3] .bat파일 생성[그림 3] .bat파일 생성





3-4. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하면 복호화해준다는 내용을 담고 있다. 하지만 이메일에 대한 답변으로 비트코인을 요구할 것으로 보여진다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트





4. 결론

이번 보고서에서 알아 본 ‘GlobeImposter Ransomware’ 는 계속해서 여러 변종들이 발견되고 있다. 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 이메일에 첨부하여 이름을 바꾸거나 숨김 속성으로 바꾸어 실행이 될 경우 피해를 볼수 있기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Crysis ransomware 분석




1. 개요 


사용자 PC에 있는 중요 파일을 암호화하고 인질로 삼는 랜섬웨어는 하루가 멀다 하고 계속해서 발견되고 있다. 공격자가 랜섬웨어로 하고자 하는 악행엔 여러가지가 있을 수 있겠지만, 대부분의 경우 비트코인을 요구하고 있다. 


은행에서 사용하는 개인 계좌 정보와 달리 비트코인과 같은 온라인 가상화폐는 비트코인 주소만 있으면 거래가 이루어지기 때문에 신분을 감추고 이용할 수 있다는 점이 사이버 범죄에 악용되고 있는 것으로 보여진다. 따라서 연일 가상화폐 가치가 올라갈수록 이러한 문제가 해결되지 않는다면 랜섬웨어 또한 끊임없이 제작되고 발견 될 것으로 보여진다.


이번 보고서에서 다루는 ‘Crysis Ransomware’ 는 수없이 많은 랜섬웨어 중 하나로 계속해서 변종이 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.


2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Crysis.exe (임의의 파일명)

파일크기

94,720 byte

진단명

Ransom/W32.Crysis.94720

악성동작

파일 암호화, 금전 요구










2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면, 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.id-208B1874.[chivas@aolonline.top].arena’ 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.




3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 %system32% 경로에 자기 자신과 동일한 파일을 복사하고 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



또한 시작 프로그램 폴더 경로에 아래와 같이 랜섬웨어 파일과 랜섬노트파일을 생성하여 재부팅 후에도 계속해서 실행 되도록 한다.



[그림 2] 시작 등록[그림 2] 시작 등록




3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 다음과 같이 ‘.id-208B1874.[chivas@aolonline.top].arena’라는 확장자를 덧붙인다.


[그림 3] 파일 암호화[그림 3] 파일 암호화


구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[표 1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 



[그림 4] 파일 암호화[그림 4] 파일 암호화




3-4. 랜섬 노트

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있으며, 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트





4. 결론


이번 보고서에서 알아 본 ‘Crysis Ransomware’ 는 계속해서 여러 변종들이 발견되고 있다. 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 이메일에 첨부하여 이름을 바꾸거나 숨김 속성으로 바꾸어 실행이 될 경우 피해를 볼 수 있기 때문에 이슈가 되지 않은 랜섬웨어 라도 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect