진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정



1. 개요 


최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다.


이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. GandCrab 랜섬웨어의 변화

 

구분

특징

시기

초기 버전

 암호화 확장자명(.GDCB), 400개 확장자 암호화, 웹사이트 방문 시 감염

201802

2.0 버전

 암호화 확장자명 변경 (.CRAB), 40개 확장자 제외 모든 파일 암호화

201803

2.1버전

 암호화 완료 시 재부팅, 이메일로 지원서를 위장한 압축첨부파일 형태로 유포

201804

3.0버전

 이메일로 악성 URL 링크를 첨부한 형태로 유포

201805

[1] GandCrab 랜섬웨어 초기 버전부터 3.0 버전까지 변화





2-2. GandCrab 이전 버전 분석 정보

GandCrab3.0 버전을 이전 버전과 비교했을 때 종료하는 프로세스 목록이나 수집 정보 목록 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.


다시 돌아온 GandCrab Ransomware 감염 주의 : http://erteam.nprotect.com/1623

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 : http://erteam.nprotect.com/1661





2-3. GandCrab3.0 에서 달라진 점

GandCrab 랜섬웨어가 진화하면서 유포 방식에 조금씩 변화가 있었다. 이전 버전에서는 이메일을 통해 첨부된 파일을 실행하도록 유도하는 방식이었다면, 3.0 버전에서는 압축파일을 첨부하지 않고 이메일 본문의 ‘이력서를 첨부하였습니다.’ 부분에 악성 URL 링크를 연결시켜 클릭을 유도하고, 이 주소를 따라가보면 지원자 명의 압축파일을 다운로드 한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포



다운로드 된 압축파일 내부에는 이력서로 위장한 스크립트 파일(resume.js)이 존재한다.


[그림 2] 다운로드 된 압축파일[그림 2] 다운로드 된 압축파일



이 스크립트는 난독화 되어 있어 아래 [그림 3]과 같이 알아 볼 수 없는 문자열로 보인다. 이 악성 스크립트 파일을 실행할 경우 랜섬웨어 유포 페이지에 접속해 랜섬웨어를 다운로드 후 실행한다.


[그림 3] 난독화 된 악성 스크립트 파일[그림 3] 난독화 된 악성 스크립트 파일





2-4. 초기 버전과 3.0 버전의 비교

GandCrab의 초기 버전과 3.0 버전의 랜섬노트는 랜섬노트명과 버전의 차이, 그리고 안내문의 일부 내용이 바뀌었을 뿐 Tor 웹 브라우저를 이용하여 지불 사이트로 유도하는 내용은 대체로 유사하다.


[그림 4] GandCrab 초기 버전 랜섬노트[그림 4] GandCrab 초기 버전 랜섬노트



[그림 5] GandCrab 3.0버전 랜섬 노트[그림 5] GandCrab 3.0버전 랜섬 노트



 

 

초기 GandCrab

GandCrab3.0

공통점

특정 프로세스 종료 (msftesql.exe, sqlagent.exe 30개 이상 프로세스 종료)

자동 실행 레지스트리 등록

(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce)

사용자 정보 수집 (PC_USER, ip), 프로세스 정보 수집 (AVP.EXE, ekrn.exe)

차이점

유포 경로

Exploit Kit에 의해

취약한 웹사이트에 방문 시 감염

입사지원서나 교통범칙금으로

위장한 이메일로 유포

암호화 대상 파일 확장자

txt, doc, zip, xls, jpg

450개 확장자 암호화

exe, dll, lnk, ldf, CRAB

40개 확장자를 제외하고 모두 암호화

암호화 제외 파일명

desktop.ini, autorun.inf,

GDCB-DECRYPT.txt 등 총 9

랜섬 노트(CRAB-DECRYPT.txt) 를 제외하고 동일

암호화 제외 폴더

\ProgramData\,  \Program Files\ 등 총 7

\IETldCache\,  \Boot\ 추가

기타

 

암호화 완료 시 재부팅,

이동식 드라이브(USB) 감염

[2] GandCrab 랜섬웨어 초기 버전과 3.0 버전의 비교






3. 결론

최근 유포되고 있는 GandCrab 랜섬웨어는 주로 입사지원서나 교통범칙금으로 위장해 이메일로 유포되므로 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능









Posted by nProtect & TACHYON

새롭게 발견된 ‘Spartacus’ 랜섬웨어 감염 주의


1. 개요 


최근, ‘Spartacus’ 라는 이름의 새로운 랜섬웨어가 발견되었다. 해외 한 보안사이트에 의하면 "Spartacus 랜섬웨어의 코드가 Satyr, Blackheart 랜섬웨어와 거의 동일하다” 고 언급하고 있다. ‘Spartacus’ 랜섬웨어는 실행 시 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 암호화를 시도하며, 별도의 통신은 하지 않고 복호화를 빌미로 가상화폐를 요구한다.


이번 보고서에서는 새롭게 발견된 ‘Spartacus’ 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SF.exe

파일크기

96,768 byte

진단명

Ransom/W32.Spartacus.96768

악성동작

파일 암호화




2-2. 동작 방식

‘Spartacus’ 랜섬웨어는 최초 ‘CheckRunProgram’ 함수를 사용하여 자기 자신의 중복 실행을 확인한 후 단일 실행이      확인되면 지정된 경로와 논리 드라이브를 대상으로 암호화를 진행한다. 또한, 시스템 복원 기능을 무력화시키기 위해 볼륨   쉐도우 복사본을 삭제한다. 아래 그림은 ‘Mutex’ 함수를 통해 중복 실행을 방지하는 ‘Spartacus’ 랜섬웨어 코드의 일부이다.


[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드





3. 악성 동작


3-1. 파일 암호화

중복 실행에 대한 확인이 끝나면 아래 그림과 같이 ‘KeyGenerator.GetUniqueKey’ 함수를 통해 암호화에 사용할 AES 키를 생성한다. 또한, 암호화할 대상 경로를 변수에 저장하고 해당 경로의 파일을 암호화한다.


[그림 2] AES 키 생성 및 암호화 대상 경로 저장[그림 2] AES 키 생성 및 암호화 대상 경로 저장




그뿐만 아니라 아래와 같이 ‘Directory.GetLogicalDrives’ 함수를 사용하여 논리 드라이브를 검색하고 해당 드라이브 내의 파일 암호화를 시도한다. 단, 파일 암호화에 앞서 확장자 ‘.Spartacus’인 파일에 대해서는 암호화를 진행하지 않는다. 암호화가 완료된 파일은 원본 파일명 뒤에 ‘.[MastersRecovery@protonmail.com].Spartacus’를 붙여 파일명을 변경한다.



[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴



[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드



[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일




3-2. 시스템 복원 기능 무력화

또한, 시스템 복원 기능을 무력화하기 위해 윈도우 명령 처리기를 사용하여 볼륨 쉐도우 복사본을 삭제한다.


[그림 6] 볼륨 쉐도우 복사본 삭제[그림 6] 볼륨 쉐도우 복사본 삭제




3-3. 금전 요구


랜섬노트에는 파일이 암호화되었음을 안내하면서 복구하기 위해서는 생성된 ‘personal ID KEY’를 특정 이메일로 전송하고 가상화폐를 지급해야 한다는 내용이 담겨있다.


[그림 7] Spartacus 랜섬노트[그림 7] Spartacus 랜섬노트





4. 결론

새롭게 발견된 ‘Spartacus’ 랜섬웨어는 파일 암호화 및 시스템 복원 기능을 무력화시키는 비교적 단순한 형태의 랜섬웨어이다. 하지만 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 파일을 암호화하고 있어 감염 시 피해가      클 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 별도로 보관해야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면




[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.

이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sts.exe

파일크기

30,208byte

진단명

Ransom/W32.Satan.30208

악성동작

파일 암호화





2-2. 동작 방식

이번 Satan 랜섬웨어 ‘sts.exe’는 실행과 동시에 두 개의 파일을 다운로드하고 실행하여 파일 암호화 및 네트워크 전파  기능을 수행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’가 붙고 확장자가 ‘.satan’으로 변경되며, 파일 암호화가 모두 완료되면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’ 랜섬노트를 띄워 가상화폐를 요구한다.





3. 악성 동작


3-1. 악성 파일 다운로드 및 실행

‘sts.exe’ 파일 실행 시 아래와 같이 특정 IP에서 ‘ms.exe’와 ‘client.exe’ 파일을 다운로드하고 실행시킨다. 각각의 실행 인자로 사용된 ‘-piamsatancryptor’와 ‘-pabcdefghijklmn’는 실행하는데 필요한 암호로 사용된다.


[그림 1] 파일 다운로드 및 실행 코드[그림 1] 파일 다운로드 및 실행 코드



[그림 2] 다운로드 후 실행된 ‘ms.exe’와 ‘client.exe’




3-2. 네트워크 통한 랜섬웨어 전파 시도

랜섬웨어 네트워크 전파를 위해 SMB 프로토콜 취약점 공격 도구인 이터널 블루를 사용하는데 이번 Satan 랜섬웨어에서 ‘ms.exe’ 파일이 그 동작을 수행한다. 아래 그림은 네트워크를 통해 랜섬웨어 전파를 시도하는 모습이다.


[그림 3] 랜섬웨어 네트워크 전파 시도[그림 3] 랜섬웨어 네트워크 전파 시도




3-3. 파일 암호화

다운로드 후 실행된 ‘client.exe’는 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’를 붙이고 확장자를 ‘.satan’으로 변경한다. 아래 암호화 대상 확장자 및 암호화된 파일에 대한 화면이다. 

 

구분

내용

암호화 대상 확장자

.asm, .asp, .aspx, .bak, .bat, .conf, .cpp, .cs, .dbf, .dmp, .doc, .docx, .frm, .inc, .ini, .jsp, .ldf, .mdf, .myd, .myi, .php, .ppt, .py, .rar, .sh, .sql, .txt, .vbs, .xls, .xlsx...

[1] 암호화 대상 확장자 목록


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

windows, python2, python3, microsoft games, boot, i386, ST_V22, intel,     dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windowsmail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user

[2] 화이트 리스트 폴더 문자열



파일 암호화를 모두 완료하면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’라는 이름의 랜섬노트 파일을 실행시킨다. 랜섬노트에는 파일 복구를 조건으로 3일 이내 0.3 비트코인 지불을 요구하는 내용이 담겨있다.


[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용





4. 결론

이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루를 통해 네트워크 전파를 시도한다. 네트워크를 통한 추가 감염으로 피해의 규모가 커질 수 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면




Posted by nProtect & TACHYON

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 


1. 개요 


최근 취약점 등을 이용해 유포되던 ‘GandCrab Ransomware’가 버전업 되어 악성 메일로 유포 되고 있어 사용자들의 주의를 요한다. 사용자의 실행을 유도하는 악성 메일로 활발히 유포가 되고 있는 ‘GandCrab Ransomware’를 이번 보고서에서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

41,472bytes

진단명

Ransom/W32.GandCrab.208904

악성동작

파일 암호화





2-2. 유포 경로

기존 GandCrab 랜섬웨어 2.0와 유사하게 악성 메일로 유포되고 있으며, ‘=지원서=’, ‘입사지원서’ 라는 제목으로 유포되어 첨부파일 실행을 유도한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포




압축된 첨부파일에는 문서 파일과 그림파일로 위장하는 LNK파일이 있으며, 해당 LNK 파일을 실행 시 ‘James.exe’라는 악성 파일이 실행된다. 해당 파일은 숨김 속성으로 되어 있다.


[그림 2] 이메일 첨부파일[그림 2] 이메일 첨부파일





2-3. 실행 과정

해당 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에는 ‘.CRAB’ 라는 확장자를 덧붙인다. 또한 암호화 된 폴더에 ‘CRAB-DECRYPT.txt’이라는 랜섬노트를 생성한다. 아래와 같이 ‘CRAB-DECRYPT.txt’에서 버전이 v2.1로 바뀐 것을 확인 할 수 있다.


[그림 3] GandCrab v2.1랜섬노트 (txt파일)[그림 3] GandCrab v2.1랜섬노트 (txt파일)




생성된 텍스트 파일의 내용중 Tor 웹 브라우저를 이용하여 개인 ID로 구성된 특성 URL 주소로 접속을 안내한다. 연결된 지불 페이지에서 암호 화폐인DASH와 Bitcoin을 요구하고 있으며, 정해진 기간이 경과 할 시 2배의 가격을 요구한다.


[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)



[그림 5] 기간 경과 시 2배의 가격 요구[그림 5] 기간 경과 시 2배의 가격 요구






3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 2.0 버전과 마찬가지로 아래 [표 1]와 같이 종료 대상 프로세스를 비교하며, 사용자의 PC에서 해당 프로세스가 실행되고 있을 시 종료 한다. 


 

구분

내용

종료 대상 프로세스 목록

‘msftesql.exe’, ‘sqlagent.exe’, ‘sqlbrowser.exe’, ‘sqlservr.exe’, ‘sqlwriter.exe’, oracle.exe’, ocssd.exe’, dbsnmp.exe’, synctime.exe’, mydesktopqos.exe’, agntsvc.exeisqlplussvc.exe’, xfssvccon.exe’, mydesktopservice.exe’, ocautoupds.exe’, agntsvc.exeagntsvc.exe’, agntsvc.exeencsvc.exe’, firefoxconfig.exe’, tbirdconfig.exe’, ocomm.exe’, mysqld.exe’, dbeng50.exe’, sqbcoreservice.exe’, excel.exe’, infopath.exe’, msaccess.exe’, mspub.exe’, onenote.exe’, outlook.exe’, powerpnt.exe’, steam.exe’, sqlservr.exe’, thebat.exe’, thebat64.exe’, thunderbird.exe’, visio.exe’, winword.exe’, wordpad.exe’, mysqld-nt.exe’, mysqld-opt.exe’

[1] 종료 대상 프로세스 목록





3-2. 자동 실행 레지스트리 등록

해당 랜섬웨어 실행 시 ‘C:\Users\[사용자 계정\AppData\Roaming\Microsoft 하위에 [임의의 파일명.exe]’로 자신을 복제하며, 재부팅 시에도 자동 실행이 되기 위해 레지스트리에 등록한다.


[그림 6] 자동 실행 레지스트리 등록[그림 6] 자동 실행 레지스트리 등록






3-3. 화이트 리스트 목록

해당 랜섬웨어는 파일 암호화 시 암호화를 제외하는 화이트 리스트가 존재한다. 아래와 같은 경로 및 파일명 그리고 특정 확장자는 암호화에서 제외한다. 해당 목록은 기존 버전과 동일하다. 

 

구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[2] 화이트리스트 목록





3-4. 이동식 드라이브 감염

해당 랜섬웨어는 이동식 드라이브를 검색하여 감염 동작을 수행한다.


[그림 7] 이동식 드라이브 감염[그림 7] 이동식 드라이브 감염






3-5. 암호화 완료 시 재부팅

해당 랜섬웨어는 파일 암호화가 완료된 뒤 시스템을 강제종료 하고 재부팅 한다. 


[그림 8] 암호화 완료 시 재부팅[그림 8] 암호화 완료 시 재부팅






4. 결론

최근 'GandCrab Ransomware' 는 2.0 버전이 유포 된지 얼마 되지 않아 2.1로 버전업 되어 악성 메일로 활발히 유포 되고 있다. 활발히 유포 되고 있는 만큼 랜섬웨어의 피해를 최소한으로 예방하기 위해 수신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

Paradise 랜섬웨어 주의


1. 개요 


다양한 악성코드 중에서도 랜섬웨어의 경우, 하나의 코드에서 파생되어 다양한 변종들이 생성됐을 만큼 많은 비중을 차지하고 있다.


과거에도 사용자의 파일을 사용하지 못하게 만드는 악성코드는 다수 존재했지만, 거래내역을 추적 당할 위험이 높아 쉽게 금전을 요구하지 못했을 것으로 추측된다. 


최근 몇 년 사이에 가상화폐나 Tor-브라우저 등의 거래 추적이 어렵다는 특징을 악용한 사이버 범죄가 기승을 부리고 있다. 이러한 문제가 해결되기 전까지 랜섬웨어와 같은 악성코드도 끊임없이 등장할 것이다.


이번 보고서에서는 사용자의 파일을 암호화 하는 'Paradise 랜섬웨어' 에 대해서 알아보자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DP_Main.exe

파일크기

36,864 byte

악성동작

파일 암호화






2-2. 유포 경로

'Paradise ransomware' 의 정확한 유포 경로는 밝혀지지 않았으나, 스팸메일의 첨부파일을 통해서 유포되었을 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시 자신의 복사본을 생성하여 자동시작되도록 등록한다. 

암호화를 하기 전에 커맨드 프롬프트를 이용하여 특정 인자 값을 통해서 볼륨 쉐도우 서비스를 사용하지 못하도록 한다.


이후 드라이브 하위에서 폴더들을 검색하여 공격자가 지정해 놓은 특정 폴더들에 대해서는 암호화를 진행하지 않으며, 그 외에 폴더를 발견할 경우 폴더 내의 파일들을 탐색하여 모든 파일을 암호화 한다.


암호화 완료 후 암호화한 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 특정 서버로 보내려는 코드가 존재한다.


위와 같은 모든 동작이 끝난 뒤, 해당 랜섬웨어는 암호화 동작을 할 때 생성했던 랜섬노트를 실행시켜 아래 [그림 1] 과 같이 암호화 사실을 알리고 복호화 방법에 대해 설명한다.


[그림 1] 랜섬노트







3. 악성 동작


3-1. 자동 시작 등록

악성 파일은 자기 자신을 복사하여 [그림 2] 와 같은 경로에 생성하고, 어떤 상황이 발생하더라도 재감염 시킬 수 있도록 자동시작 레지스트리값에 복사본을 등록하여 윈도우 재부팅 시에도 동작할 수 있도록 한다.


[그림 2] 복사본 생성[그림 2] 복사본 생성




[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록






3-2. 볼륨 쉐도우 삭제

암호화를 진행하기 전, 사용자가 복원 기능을 수행하지 못하게 하도록 Volume Shadow Copy Service (VSS) 를 삭제한다.


[그림 4] 복원 서비스 삭제[그림 4] 복원 서비스 삭제





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 탐색 중인 드라이브 하위에서 아래와 같이 공격자가 지정해 놓은 특정 폴더를 제외하고 모든 파일을 암호화한다.


[그림 5] 제외 폴더 목록[그림 5] 제외 폴더 목록




암호화를 끝마친 파일의 경우 아래와 같은 형태로 [원본파일명] + [ID] + [이메일주소].paradise 로 파일명을 변경하여 저장된다.


[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일






3-4. 정보 전송

모든 작업을 끝마친 랜섬웨어는 지정한 서버로 암호화 시킨 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 전송하는 코드가 존재하지만 지정해둔 특정 서버가 localhost 로 설정되어 있어 정보가 전송되지 않는다.

현재는 사용하지 않는 기능이거나 프로그램을 제작하는데 있어서 잘못 제작된 것으로 추정해볼 수 있다.


[그림 7] 정보 전송 코드[그림 7] 정보 전송 코드







4. 결론

이번 보고서에서 알아본 'Paradise Ransomware' 는 다른 랜섬웨어들에 비해서 많은 피해 사례가 발생하지는 않았지만 사용자의 PC 에 있는 파일들을 암호화 하기 때문에 가볍게 생각할 수 없다. 

대부분의 랜섬웨어의 경우, 복호화가 거의 불가능하기 때문에 크게 이슈가 되지 않은 랜섬웨어라도 사용자의 각별한 주의가 필요하다.

신뢰할 수 없는 사이트에서 다운받는 파일이나 메일의 첨부파일 등을 실행할 때 주의를 기울이고 사용하는 백신이나 OS 를 항상 최신버전으로 업데이트 하여 사용해야 한다.

nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화 하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON

Zenis 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다.


이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

iis_agent32.exe

파일크기

147,968byte

악성동작

파일 암호화






2-2. 동작 방식

제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일치해야 하고 동시에 레지스트리 값 HKEY_CURRENT_USER\SOFTWARE\ZenisService\Active가 존재하지 않아야 한다. 이는 중복 실행이나 중복 암호화로 인한 문제를 방지하기 위한 것으로 보인다. 아래 그림은 해당 조건을 확인하는 코드이다.


[그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인 [그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인






3. 악성 동작


3-1. 시스템 복원 무력화 및 로그 삭제

위 조건에 충족하여 정상적으로 동작을 수행하게 되면 랜섬노트에 사용할 문구에 연락 이메일 주소를 삽입하여 내용을 완성시킨다. 이후 ‘cmd.exe’를 통해 아래 [표1]과 같은 명령어를 실행시키는데 이는 시스템 복원을 무력화하고 이벤트 로그를 삭제하는 기능을 수행한다.


[그림 2] 랜섬노트 문구를 완성시키는 코드[그림 2] 랜섬노트 문구를 완성시키는 코드


 

명령어

기능

 

vssadmin.exe delete shadows /all /Quiet

볼륨 쉐도우 복사본 삭제

 

WMIC.exe shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

Bcdedit.exe /set {default} recoveryenabled no

복구 모드 사용 안함

 

wevtutil.exe cl Application

응용 프로그램 이벤트 로그 삭제

 

wevtutil.exe cl Security

보안 이벤트 로그 삭제

 

wevtutil.exe cl System

시스템 이벤트 로그 삭제

[표 1] 명령어를 통한 시스템 복원 무력화 및 이벤트 로그 삭제





3-2. 프로세스 종료

현재 시스템상의 프로세스 이름을 대상으로 아래와 같은 지정된 문자열이 포함되거나 일치할 경우 프로세스를 강제로    종료시킨다.


 

구분

내용

대상 문자열

sql

taskmgr

regedit

backup

[2] 강제 종료 대상의 문자열 목록




3-3. 파일 암호화 및 삭제

이후 지정된 확장자 파일을 대상으로 암호화나 삭제를 진행하는데 파일의 크기가 1024byte 이상이면서 1024000000byte 이하인 파일을 대상으로 한다. 암호화된 파일의 이름은 ‘Zenis-[2byte의 임의의 값].[12byte의 임의의 값]’으로 변경되고 파일 삭제 시 3번의 덮어쓰기 과정을 거쳐 삭제하기 때문에 파일 복원을 어렵게 한다. 

 

구분

내용

암호화 대상 확장자

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa.apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

[표 3] 암호화 대상 확장자 목록




[그림 3] 암호화된 파일[그림 3] 암호화된 파일




 

구분

내용

삭제 대상 확장자

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

[표 4] 삭제 대상 확장자 목록




또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

Windows, Program Files, ProgramData, PerfLogs, $Recycle.Bin, Microsoft, Microsoft Help, Microsoft App, Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone, Silverlight Kits, Temp, Windows Photo Viewer, Windows Protable Devices, Windows Slidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, Public

[표 5] 화이트 리스트 폴더 문자열




암호화된 폴더에는 ‘Zenis-Instructions.html’라는 이름으로 아래와 같은 랜섬노트를 하나씩 생성한다.


[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용






4. 결론

이번 제니스 랜섬웨어는 파일 암호화뿐만 아니라 특정 확장자 파일을 삭제함으로써 파일 복구에 어려움을 주고 있다.    랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 









Posted by nProtect & TACHYON

다시 돌아온 GandCrab Ransomware 감염 주의


1. 개요 


'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.

해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다.


하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다.


이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

137,220 byte

진단명

Ransom/W32.GandCrab.137220

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정된다.






2-3. 실행 과정

'GandCrab Ransomware V2.0' 원본파일을 실행하면 특정 프로세스를 탐색하여 종료하고, 사용자 정보와 함께 사용중인 보안프로세스 정보까지 수집하여 정보를 전송한다.

정보 전송 이후 파일 암호화를 수행 하기 위해 공격자가 지정해 둔 폴더 목록, 파일명, 확장자를 제외하고 모든 파일에 대한 암호화를 진행한다.

또한, 암호화 된 폴더에 'CRAB-DECRYPT.txt' 라는 이름의 랜섬노트를 생성하여 파일 복호화 방법에 대해서 설명한다.


[그림 1] 랜섬노트[그림 1] 랜섬노트







3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 아래와 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 수행하기 위해 쓰기 권한을 안전하게 얻으려는 동작으로 보여진다. 


구분

내용

종료 대상 프로세스 목록

msftesql.exe,  sqlagent.exe,  sqlbrowser.exe,  sqlservr.exe,  sqlwriter.exe,  oracle.exe,  ocssd.exe,  dbsnmp.exe,  synctime.exe,  mydesktopqos.exe,  agntsvc.exe,  isqlplussvc.exe,  xfssvccon.exe,  mydesktopservice.exe,  ocautoupds.exe,  agntsvc.exe,  agntsvc.exe,  agntsvc.exe,  encsvc.exe,  firefoxconfig.exe,  tbirdconfig.exe,  ocomm.exe,  mysqld.exe,  mysqld-nt.exe,  mysqld-opt.exe,  dbeng50.exe,  sqbcoreservice.exe,  excel.exe,  infopath.exe,  msaccess.exe,  mspub.exe,  onenote.exe,  outlook.exe,  powerpnt.exe,  steam.exe,  thebat.exe,  thebat64.exe,  thunderbird.exe,  visio.exe,  winword.exe,  wordpad.exe

[1] 종료 프로세스 목록






3-2. 사용자 정보 탈취

해당 랜섬웨어는 파일 암호화 동작 뿐만 아니라 아래와 같이 사용자의 정보 들을 수집한다. 


구분

내용

수집 정보 목록

pc_user=***********

pc_name=***********

pc_group=WORKGROUP&

av=smcexe&

pc_lang=ko-KR&

pc_keyb=0&

os_major=Windows 7 Home Basic&

os_bit=x86&

ransom_id=***********

hdd=C:FIXED_64422408192/9403342848&

id=2&

subid=2&

[2] 수집 정보 목록



또한, [표 3] 에 작성되어 있는 프로세스가 존재하면 해당 정보도 함께 수집하도록 한다. 


구분

내용

프로세스 리스트

AVP.EXE,  ekrn.exe,  avgnt.exe,  ashDisp.exe,  NortonAntiBot.exe,  Mcshield.exe,  avengine.exe,  cmdagent.exe,  smc.exe,  persfw.exe,  pccpfw.exe,  fsguiexe.exe,  cfp.exe,  msmpeng.exe

[3] 수집 대상 프로세스 목록




필요한 정보 수집이 완료되면 인코딩 과정을 거쳐 공격자의 서버로 전송된다.


[그림 2] 정보 전송 패킷[그림 2] 정보 전송 패킷





3-3. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명과 파일에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani   .cab   .cpl   .cur

.diagcab   .diagpkg   .dll

.drv   .hlp   .icl   .icns

.ico   .ics   .lnk   .key

.idx   .mod   .mpa   .msc

.msp   .msstyles   .msu

.nomedia   .ocx   .prf

.rom   .rtp   .scr   .shs

.spl   .sys   .theme

.themepack   .exe   .bat

.cmd   .CRAB   .crab

.GDCB   .gdcb   .gandcrab

.yassine_lemmou

[4] 화이트 리스트 목록



'GandCrab Ransomware' 는 암호화가 완료되면 원본 파일명에 '.CRAB' 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일






4. 결론

'GandCrab Ransomware' 는 감염을 보다 성공적으로 하기 위해서 유포 방식을 변경하고 있는 것으로 추정된다. 

버전업이 되어 다시 돌아온 만큼, 향후 ’WannaCry’ 나 ‘BadRabbit’ 과 같이 네트워크를 통하여 유포될 가능성도 존재하기 때문에 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

Qwerty 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다.


이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

find.exe

파일크기

946,702byte

진단명

Ransom/W32.Qwerty.946702

악성동작

파일 암호화




2-2. 동작 방식

쿼티 랜섬웨어는 패키지로 구성되어있어 각각의 파일을 코드에 따라 실행하여 랜섬웨어 기능을 수행한다. 아래 그림에서와   같이 ‘key.bat’ 파일을 실행하면 ‘find.exe’ 파일까지 순차적으로 실행되며, 실행된 ‘find.exe’는 ‘gpg.exe’를 통해 파일을  암호화하여 저장하고 ‘shred.exe’를 통해 원본 파일을 삭제한다.


[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일



아래 그림에서 첫 번째 실행되는 ‘key.bat’ 파일의 내용을 살펴보면 암호화 프로그램인 ‘gpg.exe’ 파일을 사용하여 

‘qwerty-pub.key’ 파일과 ‘ownertrust.txt’ 파일의 데이터를 암호화에 사용할 키(key)로 등록하고 ‘run.js’ 파일을 실행한다. 이후 구성 파일 중 ‘qwerty-pub.key’, ‘ownertrust.txt’, ‘run.js’, ‘key.bat’ 파일을 삭제한다.


[그림 2] key.bat 파일 내용[그림 2] key.bat 파일 내용



실행된 ‘run.js’ 파일은 아래 그림과 같이 암호화 기능을 수행시키는 ‘find.exe’ 파일을 실행한다. 이때 인자를 a부터 z 드라이브를 나타내는 문자열로 설정함으로써 드라이브 전체를 암호화 대상으로 하고 있다.


[그림 3] ‘run.js’ 파일 내용[그림 3] ‘run.js’ 파일 내용







3. 악성 동작


3-1. 프로세스 종료

‘find.exe’ 파일이 실행되면 지정된 프로세스와 자식 프로세스를 강제로 종료시킨다. 지정된 프로세스 명은 아래와 같다.

 

구분

내용

대상 프로세스

sql

1c

chrome.exe

ie.exe

firefox.exe

opera.exe

safari.exe

taskmgr.exe

[1] 강제 종료 대상 프로세스 목록




3-2. 파일 암호화

이후 대상 파일에 대한 암호화를 진행하는데 정상 암호화 도구인 ‘gpg.exe’ 파일을 사용하여 암호화를 진행한다. 하나의 파일에 대한 암호화가 완료되면 확장자를 ‘.[임의의 값].qwerty’로 변경하여 저장하고 ‘shred.exe’ 파일을 실행시켜 원본 파일을 삭제한다. 이와 같은 방식을 반복하여 대상 파일을 암호화한다. 아래 그림은 테스트 파일이 암호화된 화면이다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



[그림 4]와 같이 일부 파일이 암호화되지 않은 것을 확인할 수 있는데 이는 암호화 대상의 폴더명과 파일명에 특정 문자열을 확인하여 해당 문자열이 포함되어 있으면 암호화를 수행하지 않게 설계되어있기 때문이다. 이와 같이 암호화 예외 대상을 구분하기 위한 문자열 목록은 아래와 같다. 

 

구분

내용

화이트 리스트 문자열

Temp

TEMP

windows

Windows

WINDOWS

Program Files

PROGRAM FILES

ProgramData

gnupg

Recycle

README_DECRYPT.txt

.qwerty

.exe

.dll

[2] 화이트 리스트 문자열 목록




암호화된 폴더에 ‘README_DECRYPT.txt’라는 이름으로 랜섬노트가 하나씩 생성되며, 아래와 그림과 같이 컴퓨터가 암호화 되었음을 안내하는 내용과 파일 복구를 위해 72시간 내에 메일을 보내라는 내용을 담고있다. 


[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용




3-3. 시스템 복원 기능 무력화

암호화 이후 시스템 복구를 통한 파일 복원을 방지하기 위해 아래 [표 3]과 같이 명령어를 실행한다.


명령어

기능

 

vssadmin.exe delete shadows /all /quiet

볼륨 쉐도우 복사본 삭제

 

wmic shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

bcdedit.exe bcdedit /set {default} recoveryenabled no

복구 모드 사용 안함

 

wbadmin.exe wbadmin delete catalog -quiet

백업 카탈로그 삭제

[3] 시스템 복원 기능을 무력화하기 위해 사용되는 명령어






4. 결론

이번 쿼티 랜섬웨어는 정상적인 프로그램과 함께 패키지로 구성되어있기 때문에 일반 사용자가 정상 파일로 오인하기 쉬워 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면















Posted by nProtect & TACHYON

공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의 



1. 개요 


최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.

이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Annabelle.exe

파일크기

216,576 bytes

진단명

Ransom/W64.Annabelle.216576

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.




2-3. 실행 과정

애나벨 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 “.ANNABELLE ”라는 확장자를 덧붙인다. 또한, 파일 암호화가 끝나면 컴퓨터를 재부팅시키고 아래 [그림 1]과 같은 랜섬노트를 화면에 출력한다.



[그림 1] 애나벨 랜섬노트[그림 1] 애나벨 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어들처럼 암호화 제외 대상이나 암호화 대상 파일 테이블이 없고, 시스템 내 모든 파일을 정적 키(static key)를 이용하여 암호화 시킨다. 


[그림 2] 파일 암호화[그림 2] 파일 암호화





3-2. 볼륨 쉐도우 복사본 삭제 및 윈도우 방화벽 해제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림 3] 볼륨 쉐도우 삭제[그림 3] 볼륨 쉐도우 삭제



또한, 네트워크 명령 셸인 netsh.exe를 이용하여, 아래와 같은 명령어로 사용자의 윈도우 방화벽을 해제한다.


[그림 4] 윈도우 방화벽 해제[그림 4] 윈도우 방화벽 해제





3-3. 주요 프로그램 실행 불가 및 기능 잠금

애나벨 랜섬웨어는 암호화 동작이 수행 되는 동안, 사용자가 다른 프로그램을 실행하지 못하게 아래의 [표1]의 파일의 레지스트리의 이미지 파일 실행 부분을 수정한다. 


 

구분

내용

레지스트리 변경 대상

taskkill.exe, iexplore.exe, attrib.exe, Autoruns.exe, Autoruns64.exe,b bcdedit.exe, cabinet.dll,chkdsk.exe, chrome.exe, cmd.exe, control.exe, DBGHELP.exe, DCIMAN32.exe, dllhost.exe, firefox.exe, gpedit.msc,ksuser.dll,logoff.exe, microsoftedge.exe, microsoftedgecp.exe, mmc.exe, mpg4dmod.dll,MSASCuiL.exe, msconfig.exe, mspaint.exe, mydocs.dll, notepad++.exe, notepad.exe, opera.exe, powershell.exe, rasman.dll,recoverydrive.exe, rundll.exe, rundll32.exe, secpol.msc,sethc.exe, shellstyle.dll,systemexplorer.exe, taskmgr.exeurl.dll,usbui.dll,UserAccountControlSettings.exe, webcheck.dll,wmplayer.exe, yandex.exe

[표 1] 레지스트리 변경 대상


[그림 5] 주요 프로그램 실행 불가[그림 5] 주요 프로그램 실행 불가




또한, 아래 표와 같이 하기의 레지스트리키를 생성하여 주요 기능을 잠근다.

 

구분

내용

기능 잠금

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Policies\Microsoft\Windows\DisableCMD

HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD

HKCU\Software\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

[표 2] 기능 비활성화 레지스트리 목록



[그림 6] 작업관리자 기능 비활성화[그림 6] 작업관리자 기능 비활성화






3-4. 자동 실행 등록 및 재부팅

해당 랜섬웨어는 재부팅시 자동으로 실행될 수 있도록 레지스트리에 “UpdateBackup”이라는 이름으로 자신을 등록한다. 그리고 아래[표3] 와 같이 “shutdown.exe”를 사용하여 모든 프로세스를 종료시키고 재부팅한다.


[그림 7] 자동 실행 등록[그림 7] 자동 실행 등록



 

 

구분

내용

Command Line

"C:\Windows\System32\shutdown.exe" -r –t 00 -f

[3] 사용자 PC 재부팅




3-5. 결제 안내

재부팅 후 해당 랜섬웨어는 사용자에게 랜섬노트를 표시한다. 또한 사용자에게 암호화된 파일을 복구하기 위한 비용으로 0.1비트코인을 요구한다. 지불을 위해 왼쪽 상단에 “Credits”버튼을 누르면 아래와 같이 창이 출력되며, 해당 랜섬웨어 개발자의 “Discord” 메신저 아이디가 적혀 있는 것을 볼 수 있다.


[그림 8] 결제 안내[그림 8] 결제 안내






3-6. MBR 변조

애나벨 랜섬웨어는 랜섬노트 속 시간이 지나면 MBR을 변조하여 강제로 재 부팅시키며, 사용자의 정상적인 부팅을 막는다. 모든 동작을 수행한 뒤 애나벨 랜섬웨어는 아래와 같은 화면을 출력한다.


[그림 9] 변조된 MBR[그림 9] 변조된 MBR





4. 결론

이번 보고서에서 알아 본 "Annabelle Ransomware"는 일반적인 랜섬웨어들처럼 파일을 암호화하여 금전을 노리는 목적보다 자신의 실력을 과시하는 목적으로 만들어 진 것으로 보여진다. 다른 랜섬웨어 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 사용자를 노리는 랜섬웨어들이 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





Posted by nProtect & TACHYON