분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의

TACHYON & ISARC 2018. 10. 8. 13:56

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의

1. 개요

Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다.


이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

278,528 bytes

 진단명

Ransom/W32.VB-Dharma.278528

 악성동작

파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Dharma 랜섬웨어는 암호화를 진행하기 전, 레지스트리를 수정하여 자동 실행 파일로 자신을 등록하고, 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다. 이와 동시에 현재 실행 중인 프로세스 및 서비스를 확인하며 특정 프로세스나 서비스가 실행 중인 경우 강제로 종료시킨다. 이후 시스템을 탐색하면서 암호화 대상 파일을 선별하여 암호화를 진행하고, 암호화 작업이 완료된 후에는 “Info.hta”, “FILES ENCRYPTED.txt”라는 이름의 두 종류의 랜섬노트를 생성한다.

 

[그림 1] 랜섬노트 “Info.hta” 파일[그림 1] 랜섬노트 “Info.hta” 파일

 

 

 

 

 

 

[그림 2] 랜섬노트 “FILES ENCRYPTED.txt” 파일[그림 2] 랜섬노트 “FILES ENCRYPTED.txt” 파일

 

 

 

3. 악성 동작

3-1.  시스템 복원 지점 삭제

암호화를 진행하기 전, “vssadmin.exe” 파일을 실행하여 [그림 3]과 같은 명령을 실행한다. 아래 명령은 윈도우 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다.

 

 

[그림 3] 파일 암호화[그림 3] 파일 암호화

 

 

3-2.  자동 실행 등록

 레지스트리를 수정하여 원본 파일이 시스템 재시작 후에도 자동으로 실행될 수 있도록 설정한다. 암호화가 끝난 후에는 랜섬노트 파일 “Info.hta”도 추가로 등록하여 자동으로 실행되도록 한다.

 

 

[그림 4] 자동 실행 등록[그림 4] 자동 실행 등록

 

 

 

3-3.  특정 프로세스 및 서비스 강제 종료

현재 실행 중인 프로세스 및 서비스 이름과 [표 1]의 목록을 비교하여 일치할 시 서비스를 강제로 종료시킨다.

 

구분 

내용 

 종료 프로세스

 1c8.exe, 1cv77.exe, outlook.exe, postgres.exe, mysqld-nt.exe, mysqld.exe, sqlservr.exe

 종료 서비스

 FirebirdGuardianDefaultInstance, FirebirdServerDefaultInstance, sqlwriter, mssqlserver, sqlserveradhelper

 [표 1] 종료 프로세스 및 서비스 목록

 

 

3-4.  파일 암호화

Dharma 랜섬웨어는 원활한 암호화를 진행하기 위해 일부 폴더 및 파일을 암호화 대상에서 제외한다. 먼저 “%windir%” 폴더의 하위 파일 및 폴더는 암호화하지 않으며, 파일명이 [표 2]의 암호화 제외 파일 목록에 속하거나 파일 확장자가 “.btc”인 파일도 암호화하지 않는다. 이를 제외한 모든 파일은 암호화를 진행한 후 파일 확장자를 “id-[랜덤 문자].[공격자 메일].btc”로 변경한다.

 

 

구분 

내용 

 암호화 제외 파일

 bootfont.bin, ntldr, ntdetect.com, io.sys, FILES ENCRYPTED.txt, Info.hta, “Dharmar 실행 파일”

 [표 2] 암호화 제외 목록

 

 

 

 

 

 

 

[그림 5] 파일 암호화 결과[그림 5] 파일 암호화 결과

 

 

 

 

4. 결론

이번에 살펴본 btc 확장자 변종은 최근 유포되는 다른 Dharma 랜섬웨어와 기능상 큰 차이는 없으나 BTC 랜섬웨어라는 다른 랜섬웨어와 확장자명이 겹치기 때문에 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면