분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]‘King Ouroboros’ 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 8. 6. 11:40

‘King Ouroboros’ 랜섬웨어 감염 주의

1. 개요

나날이 지능화되고 있는 랜섬웨어는 비교적 제작이 쉽다는 점과 암호화폐 즉 비밀성이 보장되는 거래수단에 기인하여 지속적인 증가 추세를 보이고 있다. 최근 발견된 ‘King Ouroboros’ 랜섬웨어는 파일을 암호화하고 ‘king_ouroboros’ 라는 문자열을 삽입하여 파일명을 변경한다. Autoit 으로 작성된 해당 랜섬웨어는 암호화된 파일의 복호화를 조건으로 암호화폐를 요구하고 시스템 복구 기능을 무력화시켜 사용자의 각별한 주의가 필요하다.

이번 보고서에서는 ‘King Ouroboros’ 랜섬웨어에 대해서 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

KingOuroboros.exe

 파일크기

823,808 byte

 악성동작

파일 암호화

 

 

 

2-2. 실행 과정

‘King Ouroboros’ 랜섬웨어는 파일 암호화를 진행하고 로그인 시 자동 실행을 하기 위해 자기 자신을 복사하여 시작프로그램에 등록한다. 또한, 시스템 복원 기능을 무력화시키기 위해 볼륨 쉐도우 복사본을 삭제하고 시스템을 재부팅 시킨다.   이후 생성된 랜섬노트를 통해 암호화폐를 요구한다.

 

아래 사진은 ‘King Ouroboros’ 랜섬웨어 감염에 의해 변경된 바탕화면이다.

 

[그림 1] 랜섬웨어 감염에 의해 변경된 바탕화면[그림 1] 랜섬웨어 감염에 의해 변경된 바탕화면

 

 

 

 

3. 악성 동작

3-1. 파일 암호화

랜섬웨어가 실행되면 파일에 대한 암호화를 진행하며, 암호화 이후에 아래 [그림 2]와 같이 파일명에 ‘king_ouroboros’ 라는 문자열을 삽입하여 변경한다.

 

[그림 2] 암호화된 파일[그림 2] 암호화된 파일

 

 

 

3-2. 시스템 복원 기능 무력화

시스템 복원 기능을 무력화하기 위해 볼륨 쉐도우 복사본을 삭제하고 윈도우 복구 모드 비활성화 및 오류 복구 알림창이 나타나지 않도록 설정한다.

 

[그림 3] 시스템 복원 기능 방해 스크립트[그림 3] 시스템 복원 기능 방해 스크립트

 

 

 

3-3. 자동실행 등록

또한, 해당 랜섬웨어는 부팅 시 자동 실행을 위해 시작프로그램 폴더 하위에 자기 자신을 ‘setup.exe’ 라는 이름으로 복제하고 시스템을 재부팅 시킨다.

 

[그림 4] 시작프로그램 등록[그림 4] 시작프로그램 등록

 

 

 

 

재부팅 이후 자동 실행된 ‘setup.exe’ 파일은 랜섬노트를 실행하여 파일 복호화를 조건으로 감염된 사용자에게 암호화폐 지급을 요구한다. 랜섬노트에는 암호화된 파일의 목록과 영어, 독일어, 프랑스어 등 다양한 언어로 작성된 랜섬노트를 확인할 수 있다.

 

[그림 5] 랜섬노트[그림 5] 랜섬노트

 

 

 

 

4. 결론

‘King Ouroboros’ 랜섬웨어는 파일을 암호화하여 감염PC의 데이터를 사용할 수 없게 만든다. 뿐만 아니라 시스템 복원 기능을 무력화시켜 피해 복구에 어려움을 주고 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 주기적으로 별도 보관해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 화면[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 화면