Crysis ransomware 분석




1. 개요 


사용자 PC에 있는 중요 파일을 암호화하고 인질로 삼는 랜섬웨어는 하루가 멀다 하고 계속해서 발견되고 있다. 공격자가 랜섬웨어로 하고자 하는 악행엔 여러가지가 있을 수 있겠지만, 대부분의 경우 비트코인을 요구하고 있다. 


은행에서 사용하는 개인 계좌 정보와 달리 비트코인과 같은 온라인 가상화폐는 비트코인 주소만 있으면 거래가 이루어지기 때문에 신분을 감추고 이용할 수 있다는 점이 사이버 범죄에 악용되고 있는 것으로 보여진다. 따라서 연일 가상화폐 가치가 올라갈수록 이러한 문제가 해결되지 않는다면 랜섬웨어 또한 끊임없이 제작되고 발견 될 것으로 보여진다.


이번 보고서에서 다루는 ‘Crysis Ransomware’ 는 수없이 많은 랜섬웨어 중 하나로 계속해서 변종이 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.


2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Crysis.exe (임의의 파일명)

파일크기

94,720 byte

진단명

Ransom/W32.Crysis.94720

악성동작

파일 암호화, 금전 요구










2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면, 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.id-208B1874.[chivas@aolonline.top].arena’ 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.




3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 %system32% 경로에 자기 자신과 동일한 파일을 복사하고 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



또한 시작 프로그램 폴더 경로에 아래와 같이 랜섬웨어 파일과 랜섬노트파일을 생성하여 재부팅 후에도 계속해서 실행 되도록 한다.



[그림 2] 시작 등록[그림 2] 시작 등록




3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 다음과 같이 ‘.id-208B1874.[chivas@aolonline.top].arena’라는 확장자를 덧붙인다.


[그림 3] 파일 암호화[그림 3] 파일 암호화


구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[표 1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 



[그림 4] 파일 암호화[그림 4] 파일 암호화




3-4. 랜섬 노트

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있으며, 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트





4. 결론


이번 보고서에서 알아 본 ‘Crysis Ransomware’ 는 계속해서 여러 변종들이 발견되고 있다. 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 이메일에 첨부하여 이름을 바꾸거나 숨김 속성으로 바꾸어 실행이 될 경우 피해를 볼 수 있기 때문에 이슈가 되지 않은 랜섬웨어 라도 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

CryptoMix ransomware(변종) 분석




1. 개요 


랜섬웨어는 사용자 PC에 저장되어 있는 파일들을 암호화하여 이를 인질로 삼아 금전을 요구하는 악성 코드다. 최근 국내 기업에서도 랜섬웨어로 인한 피해 사례가 급증하고 있다. 랜섬웨어 제작자는 익명성을 보장해주는 비트코인 및 토르를 이용하여 추적을 어렵게 만들기 때문에 이를 악용한 사이버 범죄는 계속해서 늘어날 것으로 보여진다.


이번 보고서에서 다루는 ‘CryptoMix Ransomware’ 변종은 앞서 말한 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CryptoMix.exe (임의의 파일명)

파일크기

241,152 byte

진단명

Ransom/W32.CryptoMix.214152

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .ERROR 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.





3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 실행 된 자기 자신과 %ProgramData%경로에 ‘BC0D3BB1E1.exe’ 이름으로 복사된 동일한 파일을 모두 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.ERROR’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.



[그림 3] 볼륨 쉐도우 복사본 삭제 [그림 3] 볼륨 쉐도우 복사본 삭제



3-4. 랜섬 노트

파일 암호화가 완료되면 복호화 방법을 알려주는 랜섬노트가 출력된다. 복호화 방법으로 이메일을 통해 식별키를 전송하라고 표기되어 있으며, 랜섬웨어 특성상 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트




4. 결론


4-1. 정보 전송 및 다운로드

이번 보고서에서 알아 본 ‘CryptoMix Ransomware’ 변종은 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

SyncCrypt ransomware 분석




1. 개요 


사용자 PC의 중요 파일들을 암호화하고, 암호화된 파일을 풀어주는 조건으로 금전을 요구하는 랜섬웨어는 계속해서 새롭게 발견되고 있다.


랜섬웨어에 감염이 되면, 특정 파일에 대해서는 사용할 수 없기 때문에 공공기관이나 기업에서는 자칫 업무까지 마비가 

되어 엄청난 손해로 연결될 수 있다. 그렇기 때문에 중요한 파일이 있는 PC에서는 항상 주의를 할 필요가 있다.


이번 보고서에서 다루는 ‘SyncCrypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CourtOrder_845493808.wsf

파일크기

3,710 byte

진단명

Script-JS/W32.SyncCrypt-Downloader

악성동작

다운로더









구분

내용

파일명

sync.exe

파일크기

2,203,648 byte

진단명

Ransom/W32.SyncCrypt.2203648

악성동작

파일 암호화, 금전 요구








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

첨부된 ‘.wsf’ 파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .kk 확장자를 덧붙이고 바탕화면에 README라는 폴더를 만들어 랜섬노트를 생성한다.


[그림 1] 악성파일 다운로드 스크립트[그림 1] 악성파일 다운로드 스크립트






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.kk’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화




구분

내용

암호화 대상 파일

확장자

accdb, accde, accdr, adp, ach, arw, asp, aspx, backup, backupdb, bak, bat, bay, bdb, bgt, blend, bmp, bpw, cdf, cdr, cdr3, cdr4, cdr5, cdr6, cdrw, cdx, cer, cfg, class, cls, config, contact, cpp, craw, crt, crw, css, csv, d3dbsp, dbx, dcr, dcs, dds, der, dif, dit, doc, docm, docx, dot, dotm, dotx, drf, drw, dwg, dxb, dxf, edb, eml, eps, fdb, flf, fpx, frm, gif, gpg, gry, hbk, hpp, html, hwp, jpe, jpeg, jpg, kdbx, kdc, key, jar, java, laccdb, latex, ldf, lit, lua, mapimail, max, mbx, mdb, mfw, mlb, mml, mmw, midi, moneywell, mocha, mpp, nef, nml, nrw, oab, odb, odc, odf, odg, odi, odm, odp, ods, odt, otg, oth, otp, ots, p12, pas, pab, pbm, pcd, pct, pcx, pdf, pef, pem, pfx, pgm, php, pict, pntg, potm, potx, ppam, ppm, pps, ppsm, ppsx, ppt, pptm, pptx, ppz, prf, psd, ptx, pub, qbw, qbx, qpw, raf, rtf, safe, sav, save, sda, sdc, sdd, sdf, sdp, skp, sql, sqlite, sqlite3, sqlitedb, stc, std, sti, stm, stw, sxc, sxg, sxi, sxm, sxw, tex, txt, tif, tiff, vcf, wallet, wb1, wb2, wb3, wcm, wdb, wpd, wps, xlr, xls, xlsb, xlsm, xlsx, xlam, xlc, xlk, xlm, xlt, reg, rspt, profile, djv, djvu, ms11, ott, pls, png, pst, xltm, xltx, xlw, xml, r00, 7zip, vhd, aes, ait, apk, arc, asc, asm, asset, awg, back, bkp, brd, bsa, bz2, csh, das, dat, dbf, db_journal, ddd, ddoc, des, design, erbsql, erf, ffd, fff, fhd, fla, flac, iif, iiq, indd, iwi, jnt, kwm, lbf, litesql, lzh, lzma, lzo, lzx, m2ts, m4a, mdf, mid, mny, mpa, mpe, mpeg, mpg, mpga, mrw, msg, mvb, myd, myi, ndf, nsh, nvram, nxl, nyf, obj, ogg, ogv, p7b, p7m, p7r, p7s, package, pages, pat, pdb, pdd, pfr, pnm, pot, psafe3, pspimage, pwm, qba, qbb, qbm, qbr, qby, qcow, qcow2, ram, rar, ras, rat, raw, rdb, rgb, rjs, rtx, rvt, rwl, rwz, scd, sch, scm, sd2, ser, shar, shw, sid, sit, sitx, skm, smf, snd, spl, srw, ssm, sst, stx, svg, svi, swf, tar, tbz, tbz2, tgz, tlz, txz, uop, uot, upk, ustar, vbox, vbs, vcd, vdi, vhdx, vmdk, vmsd, vmx, vmxf, vob, vor, wab, wad, wav, wax, wbmp, webm, webp, wks, wma, wp5, wri, wsc, wvx, xpm, xps, xsd, zip, zoo


[표 1] 암호화 대상 파일 확장자




그리고 해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명에 대해서는 암호화 동작을 수행하지 않는다.

구분

내용

암호화 제외 대상 폴더

windows\\

program files (x86)\\

program files\\

programdata\\

winnit\\

\\system volume information\\

\\desktop\r\readme\\

\\$recycle.bin\\


[표 2] 암호화 제외 대상 폴더




3-2. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 특정 주소와 금액을 지불하였다는 이메일을 작성하면 복호화 해준다는 내용을 포함하고 있다.


[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트





4. 결론

이번 보고서에서 알아 본 ‘SyncCrypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Israbye Ransomware 분석 보고서 



1. 개요 


최근 특정 국가를 겨냥한 새로운 유형의 랜섬웨어가 발견 되었다. 일반적으로 랜섬웨어는 파일을 인질로 잡고 이를 복구하기 위한 방법으로 금전을 요구한다.


하지만, 이번에 발견 된 ‘Israbye’ 랜섬웨어는 다른 랜섬웨어들과 다르게 특정 국가를 비난하는 내용을 목적으로 제작된 것으로 보이며 금전을 요구하지 않고 데이터파일을 사용할 수 없게 만든다.


또한 윈도우 작업표시줄을 사라지게 하거나 마우스 커서에 특정 문구가 따라다니게 만들어 정상적인 PC이용을 할 수 없도록 만들고 있어 주의가 필요하다.


이번 보고서에서는 ‘Israbye’ 랜섬웨어는 어떠한 동작을 하는지 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

israbye.exe

파일크기

6,978,560 byte

악성동작

데이터 파일 파괴










2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 첨부하여 유포되고 있는 것으로 추정 된다. 



2-3. 실행 과정

‘Israbye’ 랜섬웨어가 실행 되면 ‘임시폴더’ 경로와 ‘시작프로그램’ 경로에 추가적으로 악성동작에 필요한 다수의 파일을 생성하고 실행한다. 다른 랜섬웨어들과는 다르게 파일을 암호화하기 보다는 특정 문자열을 원본 데이터에 덮어 씌워 원본 파일이 유실되도록 만들고 랜섬노트를 띄운다. 해당 랜섬노트는 특정 국가에 대해 비난하는 글이 기재되어 있고 바탕화면이 변경 된 것을 확인 할 수 있다. 

[그림 1] 변경 된 바탕화면 이미지[그림 1] 변경 된 바탕화면 이미지



3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 바탕화면 변경과 작업 표시줄 삭제, 마우스 커서 문자열 추가 그리고 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 파일 생성[그림 2] 시작 프로그램 경로에 파일 생성



3-2. 원본 데이터 사용 불가

해당 ‘Israbye’ 랜섬웨어는 데이터 파일을 찾아 특정 문자열로 덮어 씌운다. 그리고 ‘.israbye’ 확장자를 원본 확장자에 덧붙인다. 원본 데이터 파일에 덮어씌워지는 문자열의 내용으로 보아 제작자의 의도가 어떠한 것인지 추측해 볼 수 있다.

 [그림 3] 특정 문자열로 교체[그림 3] 특정 문자열로 교체




덮어씌워 진 문자열 내에는 다음과 같이 사용자 계정이 포함 되었다는 것을 확인 할 수 있다.


[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함




3-3. 랜섬 노트 및 기타 동작

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 원본 데이터를 사용하지 못하게 만든 후 팝업 창을 띄워 사용자에게 보여준다. 다른 랜섬웨어들이 대게 비트코인 지불방법에 대해서 안내를 하지만 해당 랜섬웨어는 제작자가 전달하고 싶은 메시지만 작성되어 있다.

[그림5] 랜섬 노트[그림5] 랜섬 노트



그리고 원본 데이터를 사용하지 못하게 하는 것 이외에도 작업표시줄을 사라지게 만들고 마우스 커서에 특정 문구가 따라다니도록 만들어 PC를 사용함에 있어 불편하게 만든다.


[그림6] 변경 된 윈도우 바탕화면[그림6] 변경 된 윈도우 바탕화면



또한, 해당 랜섬웨어는 사용자의 PC에서 자신이 강제 종료 당하지 않기 위해 ‘ProcessHacker’ 나 ‘procexp’ 등을 종료한다.


  [그림7] 종료 프로세스 목록[그림7] 종료 프로세스 목록




4. 결론


이번 보고서에서 알아 본 ‘Israbye’ 랜섬웨어는 일반적인 랜섬웨어들과는 다르게 특정 국가를 겨냥하여 만든 것으로 추정되고 있다. 일반적인 랜섬웨어와 목적이 다른 만큼 비용을 지불하는 방법으로 파일을 복호화 할 수 없다. 또한, 감염 시 원본 데이터를 사용할 수 없게 만들고 정상적인 PC이용을 어렵게 만들기 때문에 주의 할 필요가 있다. 


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.












저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Jigsaw (ver .korea) Ransomware 분석 보고서 



1. 개요 


최근 유창한 한국어로 작성 되어 국내 사용자들을 겨냥한 듯한 ‘Jigsaw’ 랜섬웨어가 발견 되었다.


‘Jigsaw’ 랜섬웨어는 국내에서도 공포 영화로 잘 알려진 ‘쏘우’ 에 나온 가면을 사용자에게 보여주고 일정 시간이 지나면 차례로 파일을 삭제하여 피해자가 조바심을 느끼게 하여 복호화 비용을 지불하도록 만드는 랜섬웨어이다.


특히, ‘Jigsaw’ 랜섬웨어 감염 시 나타나는 랜섬노트가 한국인이 작성했을 것으로 추측될 정도의 문장으로 구성되어 있다는 특징이 있다.


다만, 현재 분석 시점에서는 해당 랜섬웨어가 암호화동작을 수행하지 않고 있어, 제작이 진행중이거나 임시 테스트용으로 보여지며 국내를 대상으로 잠재적인 위협요소를 지니고 있어 각별한 주의가 필요하다.


이번 보고서에서는 한국어로 복호화 비용을 안내하는 ‘Jigsaw’ 랜섬웨어에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

WindowApplication.exe

파일크기

256,512 byte

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 경로는 밝혀지지 않았지만 해당 랜섬웨어는 암호화 동작을 수행하지 않고 있어 랜섬웨어 제작자가 임의의 테스트용으로 만들었을 것으로 추정되고 있다.



2-3. 실행 과정

해당 ‘Jigsaw’ 랜섬웨어가 실행되면 실제 암호화 동작을 수행하지는 않으며, 사용자 바탕화면에 아래 [그림 1] 와 같이 팝업 창만 띄워 사용자에게 랜섬웨어에 감염된 것처럼 보여준다.

[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>


[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>






3. 악성 동작


3-1. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 숙주파일과 동일하지만 파일명이 바뀐 ‘firefox.exe’ 를 실행하도록 한다. 


[그림 3] 랜섬웨어 실행 레지스트리 값 추가[그림 3] 랜섬웨어 실행 레지스트리 값 추가





3-2. 파일 암호화

해당 ‘Jigsaw’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES 알고리즘을 사용하여 암호화 한 뒤, “.korea” 라는 확장자를 덧붙인다. 하지만 현재 분석 시점에서는 실제 암호화를 진행하지 않는다.

 [그림 4] AES 암호화[그림 4] AES 암호화



코드 내에 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

.jpg .jpeg .raw .tif .gif .png .bmp .3dm .max .accdb .db .dbf .mdb .pdb .sql .dwg .dxf

.c .cpp .cs .h .php .asp .rb .java .jar .class .py .js .aaf .aep .aepx .plb .prel .prproj .aet

.ppj .psd .indd .indl .indt .indb .inx .idml .pmd .xqx .xqx .ai .eps .ps .svg .swf .fla .as3

.as .txt .doc .dot .docx .docm .dotx .dotm .docb .rtf .wpd .wps .msg .pdf .xls .xlt .xlm

.xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm

.ppam .ppsx .ppsm .sldx .sldm .wav .mp3 .aif .iff .m3u .m4u .mid .mpa .wma .ra .avi

.mov .mp4 .3gp .mpeg .3g2 .asf .asx .flv .mpg .wmv .vob .m3u8 .mkv .dat .csv .efx

.sdf .vcf .xml .ses .rar .zip .7zip


[표 1] 암호화 대상 파일 확장자




3-3. 금전 요구

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 일반적인 ‘Jigsaw’ 랜섬웨어와 거의 유사한 팝업창을 띄워 사용자에게 비트코인 지불방법에 대해서 안내한다. 안내문구는 한국인이 개입하였을 것으로 추측될 만큼 유창한 한국어로 작성되어 있다.  

[그림5] 한글 랜섬노트[그림5] 한글 랜섬노트



실제 암호화 동작이 이루어지고 있지는 않지만 암호화 된 파일이 존재할 경우 이를 인질로 삼아 제한시간 내에 비트코인을 지불하지 않을 시, 파일 삭제로 위협 한다는 것을 확인 할 수 있다.


[그림6] 파일 삭제[그림6] 파일 삭제





4. 결론


이번 보고서에서 알아 본 ‘Jigsaw’ 랜섬웨어는 실제 암호화 동작이 이루어지고 있지 않기 때문에 피해 사례가 발생하지는 않았지만 국내 사용자를 대상으로 만들어진 만큼 새로운 유형에 접목시켜 유포 시 피해가 발생할 수 있어 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.













저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Reyptson Ransomware 감염 주의


1. 개요 


PC를 이용하는 사용자들의 중요 데이터를 인질로 삼아 이를 복호화하기 위한 대가로 금전을 요구하는 랜섬웨어의 유포 방식이 나날이 발전하고 있다.


랜섬웨어 제작자는 보다 많은 감염을 발생시키기 위해 여러가지 방법을 이용하는데 최근까지 발견된 랜섬웨어들의 유포 방식을 보면 사회공학기법을 이용하거나, 윈도우 취약점을 악용하여 많은 피해가 발생하였다.


이번에 발견된 ‘Reyptson’ 랜섬웨어 같은 경우 악성코드내에 사용자 이메일 계정에 등록되어 있는 주소목록 대상으로 스팸메일을 전송하는 것으로 확인되어 주의가 필요하다.


이번 보고서에서는 ‘Reyptson’ 랜섬웨어는 어떠한 동작을 수행하는지 알아보고자 한다.









2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Reyptson.exe

파일크기

342,528 byte

악성동작

파일 암호화, 금전 요구


 


 


2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어에 감염 시, 사용자 PC에 설치되어 있는 Thunderbird 이메일 계정 주소 목록을 대상으로 스팸메일을 유포하여 2차 피해를 줄 수 있을 것으로 확인 된다.


2-3. 실행 과정

‘Reyptson’ 랜섬웨어가 실행되면 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여 해당 이메일 프로그램이 설치되어 있다면 감염된 PC의 이메일 자격 증명 및 연락처 목록을 검색하여 스팸 메일을 유포한다. 


그 후 다른 랜섬웨어와 동일하게 대상 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 대상 폴더마다 랜섬노트가 생성된다.


[그림 1] Thunderbird 이메일 프로그램[그림 1] Thunderbird 이메일 프로그램


 



3. 악성 동작


3-1. 이메일 프로그램 접근

‘Reyptson’ 랜섬웨어는 사용자 PC에 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여, 해당 프로그램이 설치되어 있다면 이메일 주소 목록에 접근한다. 


[그림 2] 이메일 접근 부분[그림 2] 이메일 접근 부분






3-2. 스팸 메일 전송

이메일 주소 목록에 접근 하였다면 아래 그림과 같이 스팸 메일을 생성하여 또 다른 피해자가 발생하도록 유도하고 있다.


[그림 3] 스팸 메일 생성[그림 3] 스팸 메일 생성




3-3. 파일 암호화

그리고 ‘Reyptson’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-128 알고리즘을 사용하여 암호화 한 뒤, “.Reyptson” 라는 확장자를 덧붙인다.


  [그림 4] AES-128 암호화[그림 4] AES-128 암호화


[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

".doc",".dot",".wbk",".docx",".docm",".dotx",".dotm",".docb",".xls",".xlt",".xlm",".xlsx",

".xlsm", ".xltx",".xltm",".xlsb",".xla",".xlam",".xll",".xlw",".ppt",".pot",".pps",".pptx",

".pptm",".potx",".potm",".ppam",".ppsx",".ppsm",".sldx",".sldm",".accdb",".db",".accde",

".accdt",".accdr",".pdf",".ani",".anim",".apng",".art",".bmp",".bpg",".bsave",".cal",".cin",

".cpc",".cpt",".dds",".dpx",".ecw",".exr",".fits",".flic",".flif",".fpx",".gif",".hdri",".hevc",

".icer",".icns",".ico",".cur",".ics",".ilbm",".jbig",".jbig2",".jng",".jpeg",".jpeg"".2000",

".jpeg-ls",".jpeg",".xr",".kra",".mng",".miff",".nrrd",".ora",".pam",".pbm",".pgm",".ppm",

".pnm",".pcx",".pgf",".pictor",".png",".psd",".psb",".psp",".qtvr",".ras",".rbe",".jpeg-hdr",

".logluv",".tiff",".sgi",".tga",".tiff",".tiff",".ufo",".ufp",".wbmp",".webp",".xbm",".xcf",

".xpm",".xwd",".cpp",".h",".cs",".sln",".idb",".txt",".dat"

[1] 암호화 대상 파일 확장자


해당 랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다.


[그림 6] 예외 대상 경로[그림 6] 예외 대상 경로



3-4. 금전 요구

암호화가 진행되면서 대상 폴더에는 “Como_Recuperar_Tus_Ficheros.txt” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.


[그림7] 영문 랜섬노트[그림7] 영문 랜섬노트







4. 결론

이번 보고서에서 알아 본 ‘Reyptson’ 랜섬웨어는 아직 국내에서 피해 사례가 발생하지 않았지만, 올해 랜섬웨어라는 악성코드로 인하여 피해 사례가 전세계적으로 급증하고 있는만큼 새로운 형태의 랜섬웨어 대한 경계심을 가지고 항상 주의 할 필요가 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Hades Locker로 돌아온 WildFire 랜섬웨어 




1. 개요 


이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

update.exe

파일크기

510,026 byte

진단명

Ransom/W32.Hades.510026

악성동작

파일 드롭

 

구분

내용

파일명

Ronms.exe

파일크기

72,351,744 byte

진단명

Ransom/W32.Hades.72351744

악성동작

파일 암호화

네트워크

176.***.***.183 – 공격자 서버

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.





2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.


[그림 2] 파일 드롭과 자동 실행 등록[그림 2] 파일 드롭과 자동 실행 등록





사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 







3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트[그림 3] 암호화된 파일과 랜섬노트






암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[1] 암호화 대상 파일 확장자




3-3. 금전 요구


암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지[그림 4] 결제 안내 메인 페이지




다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내[그림 5] 비트코인 구입 및 결제 방법 안내




FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지[그림 6] FAQ (자주 묻는 질문) 페이지





Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지[그림 7] Helpdesk 페이지






4. 결론


복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 개 요


해외를 중심으로 지속적인 유포가 이루어지는 Ransomware중 Flash Player의 아이콘 및 파일명을 도용한 변종이 발견
되었다. 해당 Ransomware는 파일명 등 속성 값을 위장하는 사회공학 기법으로 사용자들을 현혹하기 때문에 일반 사용자들의 경우 이러한 사회공학 기법을 악용하는 Ransomware에 대한 각별한 주의가 요망되고 있다. Ransomware는 감염 특성상 일단 감염되면 사후 대응이 어려우며, 금전적 손실 등을 유발할 수 있기 때문에 사전에 감염되지 않도록 예방하는 것이 무엇보다 중요하다.

[주의]Ransomware의 해외 유포 증가

http://erteam.nprotect.com/193
  

2. 유포 경로 및 감염 증상

위와 같이 정상 파일명으로 위장한 Ransomware의 경우 SNS나 메신저 등의 링크접속을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 국내외 특정 웹 사이트를 해킹하여 삽입한 보안 취약점을 통해서도 유포가 가능하다.

해당 Ransomware는 하기 그림과 같이 Flash Player의 파일명과 아이콘으로 위장한것이 특징이다.


파일명과 아이콘이 Flash Player와 유사하기 때문에 일반 사용자의 경우 별다른 의심없이 해당 악성파일을 실행할 수 있다. 해당 악성파일이 실행되면 곧바로 아래의 그림과 같이 정상적인 PC사용을 방해하는 화면이 출력될 수 있다.


위 그림의 본문 내용을 통해 정상적인 PC사용을 위해서는 일종의 복호화 키가 필요하며, 키를 원할 경우 특정 휴대전화 번호로 일정 금액을 송부하도록 유도하고 있다. 또한, 감염 후 위 그림과 같은 상황이 발생하면 PC의 다른 기능은 일체 사용이 불가능하며, 하단 부분의 흰색 텍스트바에 유효 코드에 대한 입력만이 가능하다.

해당 악성파일이 실행되면 내부적으로 아래의 그림과 같은 동작을 진행하게 된다.

 

클릭하면 확대된 화면을 보실 수 있습니다.


위 그림을 통해 해당 Ransomware에 감염될 경우 특정 프로세스(exeplorer.exe)에 대한 종료와 함께 추가적인 악성파일이 생성된다는 것을 알 수 있으며, 생성된 악성파일에 대한 레지스트리 등록 부분 또한 확인이 가능하다.

추가적으로 생성되는 "swap32.exe"파일은 원 숙주 파일인 "flashplayer.exe"의 복사본이며, 아래와 같은 레지스트리 등록값을 통해 매번 Explorer.exe와 함께 실행될 수 있도록 한다.

※ 레지스트리 등록값

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  - 이 름 : Shell
  - 데이터 : "Explorer.exe, C:\Documents and Settings\(사용자계정)\Local Settings\Application
                Data\Aware Products\Temp\Cache\Extension\swap32.exe"


해당 Ransomware는 사용자가 입력한 유효 코드와 비교를 하기 위하여 내부에 실제 유효 코드를 가지고 있으며, 아래의 그림과 같이 트레이싱을 통해 실제 유효 코드에 대한 확인이 가능하다.
  

◆ 복호화를 위한 유효 코드


※ 실제 유효 코드

유효 코드는 "123456545" 이며, 해당 코드를 입력하면 복호화 되어 다시 정상적으로 PC사용이 가능하다.
  

3. 예방 조치 방법

위와 같은 Ransomware는 이전에도 언급했지만 사전 대응이 무엇보다 중요하다. 감염되고 나면 일체의 PC사용이 불가능 하기 때문이다. 물론, 감염된 PC의 하드디스크를 정상 PC에 연결하여 해당 Ransomware를 제거하거나 분석을 통해 알 수 있는 유효 코드를 입력하면 해결이 가능하지만 일반 사용자의 경우 이러한 복구 과정을 수행하기에 어려움이 많을 수 있다.

때문에 가장 효율적으로 이러한 Ransomware에 대비하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.112128.LY




저작자 표시
신고
Posted by nProtect