동향 리포트/월간 동향 리포트

[랜섬웨어 분석]10월 랜섬웨어 동향 및 Xorist 랜섬웨어

TACHYON & ISARC 2018. 11. 6. 14:02

10월 랜섬웨어 동향 및 Xorist 랜섬웨어

1. 10월 랜섬웨어 동향

2018년 10월(10월 01일 ~ 09월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 지속적인 버전업을 하며 가장 이슈가 되었으며, 해외에서는 미국 노스캐롤라이나의 상하수도청과 인디아나주 방위군이 랜섬웨어에 피해를 받은 일이 있었다.

이번 보고서에서는 10월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 10월 말 등장한 Xorist 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 

 

1-1. 국내/외 랜섬웨어 피해 사례

GandCrab 랜섬웨어 피해 사례

지난 달에 이어 이번달에도 여전히 GandCrab 랜섬웨어는 버전업을 통해 국내외 사용자들을 괴롭혔다. V5.0.2부터 v5.0.5까지 유포방식이나 암호화 동작을 조금씩 바꾸며 지속적인 활동을 했다. 한편, 최근에 해외 한 보안업체에서 무료 복구툴을 공개했는데 복구툴을 이용해서 복구가 가능한 버전이 있지만, 복구가 되지 않는 버전도 존재하는 것으로 밝혀졌다.

 

[그림 1] 갠드크랩 v5.0.5 감염 후 바탕화면[그림 1] 갠드크랩 v5.0.5 감염 후 바탕화면

 

 

 

미국 노스캐롤라이나 상하수도청 랜섬웨어 피해 사례

10월 초, 미국 노스캐롤라이나 상하수도청은 랜섬웨어 공격을 받았다. 상하수도청에서 발표한 바에 따르면 공격자는 서버와 내부 컴퓨터 시스템을 노린 것으로 추정되며 사용자 데이터는 침해되지 않았으며 수도 공급에도 차질이 없다고 발표했다. 해당 랜섬웨어는 Ryuk 랜섬웨어 이며 스팸을 통해 무작위로 퍼지는 일반 랜섬웨어와는 달리, 표적형 공격에 주로 쓰이는 랜섬웨어 이다.

 

[그림 2] Ryuk 랜섬웨어 랜섬노트[그림 2] Ryuk 랜섬웨어 랜섬노트

 

 

 

미국 인디아나주 방위군 랜섬웨어 피해 사례

10월 중순, 미국 인디아나주 방위군은 일부 군인 및 민간인에 대한 개인 식별 정보(PII)가 포함 된 서버가 랜섬웨어에 감염되었다고 밝혔다. 해당 랜섬웨어는 암호화 확장자에서 ‘.gamma’ 라는 이름을 지닌 Crysis 랜섬웨어의 변종으로 추정되며, 2018년 들어 애틀란타 경찰국, 콜로라도 주 교통부 등 미국 정부기관을 대상으로 하는 랜섬웨어 공격이 많아 지고 있으므로 주의해야 한다고 했다.

 

[그림 3] gamma 랜섬웨어 랜섬노트[그림 3] gamma 랜섬웨어 랜섬노트

 

 

 

1-2. 신종 및 변종 랜섬웨어

Hiddenbeer 랜섬웨어

10월 중순에 발견된 이 랜섬웨어는 오픈 소스인 Hidden-Tear 기반으로 제작 되었다. 감염 후 .Beer 라는 확장자를 덧붙이며 바탕화면에 남북정상이 함께 있는 사진이 깨진 형태로 바뀐다. 해당 랜섬웨어는 오픈소스 기반으로 만들어졌기 때문에 앞으로도 매우 많은 변종이 제작될 가능성이 있다.

 

[그림 4] HiddenBeer 랜섬웨어 감염 후 바탕화면[그림 4] HiddenBeer 랜섬웨어 감염 후 바탕화면

 

 

 

 

Kraken Cryptor 랜섬웨어

2018년 8월정도에 해외에서 처음 유포되었다고 알려진 Karken Cryptor 랜섬웨어는 지속적인 버전업을 통해 이번달에는 v2.0.7까지 등장했다. 악성코드가 포함된 광고를 악용한 멀버타이징 기법으로 유포된다고 알려졌으며, 암호화 후 랜덤으로 확장자명을 변경하며 감염 PC의 언어에 맞춰 바탕화면을 변경해 감염된 사실을 알린다. 앞으로도 지속적인 버전업이 예상되므로 주의를 요한다.

 

 

[그림 5] KraKen Cryptor 랜섬웨어 감염 후 바탕화면[그림 5] KraKen Cryptor 랜섬웨어 감염 후 바탕화면

 

 

 

FilesLocker 랜섬웨어

10월 말 발견된 FilesLocker 랜섬웨어는 서비스형태의 랜섬웨어로 제작되어 중국 해킹 멀웨어 포럼을 통해 판매되고 있는 것으로 알려졌다. 암호화 후 .locked라는 확장자를 덧붙이며, 랜섬노트는 중국어 및 영어로 제작되어 있다. 동작은 일반적인 랜섬웨어와 크게 다르지 않으며, 서비스형태의 랜섬웨어 이므로 다양한 경로로 유포될 가능성이 있기 때문에 항상 주의해야 한다.

 

[그림 6] FilesLocker 랜섬웨어 랜섬노트[그림 6] FilesLocker 랜섬웨어 랜섬노트

 

 

 

 

2. Xorist 랜섬웨어 분석보고서

10월 말 등장한 Xorist 랜섬웨어는 2016년 처음 등장했던 서비스형 랜섬웨어인 Xorist-Frozen 랜섬웨어의 변종으로 보인다. 암호화 후 .RaZoNiS 라는 확장자를 덧붙이며, 바탕화면을 변경해 사용자에게 감염사실을 알린다.
이번 보고서에서는 Xorist 랜섬웨어의 동작에 대해 알아보고자 한다.


2-1. 파일 정보

 

구분 

내용 

 파일명

 [임의의 파일명].exe

파일크기

 201,728 byte

 진단명

 Ransom/W32.Xorist.5153792

 악성동작

 파일 암호화

 

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Xorist 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 레지스트리를 등록하여 복제한 랜섬웨어 실행파일을 자동 실행 프로그램으로 등록하고, .RaZoNis 라는 확장자를 덧붙이며 암호화를 진행한다. 암호화가 완료 된 후 경고창을 띄워 사용자에게 감염사실을 알리고, 결제방법을 안내한다.

 

[그림 7] Xorist 랜섬웨어 랜섬노트[그림 7] Xorist 랜섬웨어 랜섬노트

 

 

 

 

3. 악성동작

3-1. 자가 복제

해당 랜섬웨어가 실행되면 ‘C:\Users\UserName\AppData\Local\Temp\X57iPxK8gRM575T.exe’ 경로에 자기자신을 복제한다.

 

 

[그림 8] 복제한 파일[그림 8] 복제한 파일

 

 

 

3-2. 자동 실행 등록

자기 자신을 복제한 파일을 Run 레지스트리에 ‘Alcmeter’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 9] 자동 실행 등록[그림 9] 자동 실행 등록

 

 

 

3-3. 파일 암호화

해당 랜섬웨어는 암호화 한 뒤 [그림 10] 과 같이 .RaZoNis 확장자를 덧붙인다. 또한 암호화를 완료한 폴더에 ‘HOW TO DECRYPT FILES.txt’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 10] 암호화 된 파일[그림 10] 암호화 된 파일

 

 

 

 

 

 

아래 [표 1] 의 조건에 해당하는 확장자를 가진 파일에 대해서만 암호화 동작을 수행한다.

 

 

구분 

내용 

 암호화

대상 확장자

.hdat .pdb .xqx .old .cnt .rtp .qss .qst .ipg .ert .pic .img .cur .fxr .slk .mpe .mov .wmv .mpg .vob .mpeg

.avi .flv .mkv .asf .wav .flac .mpa .aac .wma .djv .pdf .djvu .jpeg .jpg .bmp .png .zipx .tar .tgz .rar .zip

.arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .sqli .sdf .mdf .myd .frm .odb .myi .dbf

.indb .mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wmf .tif .xcf .tiff .xpm .nef .orf .bay .pcd .dng .ptx

.raf .rwl .kdc .yuv .srf .dip .mef .raw .log .odg .uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps

.pns .wpd .wps .msg .pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw

.xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm .txt .csv .mac

.met .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .slr .odc .xlk .ppsx .obi .ppam

.text .docb .mda .sxm .otg .oab .cmd .bat .asx .lua .hpp .clas .fla .js .jsp .jar .java .asp .vbs .asm .pas

.cpp .xml .php .plb .asc .ppf .pat .sct .lay .iff .ldf .tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon

.gif .psd .html .ico .ipe .dwg .jng .cdr .aep .aepx .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl

.indl .dsf .drw .indt .pdd .per .icd .pct .prf .pst .inx .plt ,idml .pmd .psp .ttf .cpx .str .cgm .clk .cdx .xhtm

.cdt .fmv .aes .gem .max .svg .mid .iif .qsm .aif .qbw .qbb .qbm .ptb .qbi .qbr .des .qbo .stc .lgb .qwc

.qbp .qba .tlg .qbx .qby .ach .qpd .gdb .tax .qif .qdf .ofx .qfx .ebc .ebq .mye .myox .ets .epb .txf .gpc

.qtx .itf .qsd .iban .ofc .mny .qxf .amj .tbp .qbk .aci .npc .qbmb .sba .cfp .tfx .let .dac .slp .saj .zdb .ssg

.epa .acj .rdy .sic .lmr .sdy .brw .vnd .esv .vmb .qph .qel .pvc .etq ,hsr ,ati .mmw .qpb .zix .lid .qmtf .hif

.lld .quic .mbsb .qml .wac .vbpf .qix .qpg .quo .ptdb .gto .vdf .fcr .gnc ,ldc .tom .rpf .skg .pls .xaa .dgc

.mnp .qdt .ptk .chg .qfi .acc .esk .cpw .sbf .mql .dxi .kmo .oet .efs .mne .ebd .fef .qpi .exp .qmt .cfdi

.qme .mmb .qnx .say .pma .defx .tkr .tpl .qob .fca .eqb .lhr .qem .scd .mwi .mrq .kmy .stm .pfd .bgt .hts

.resx .meta .rcs .dtl .mem .seam .brif .efsl .emp .imp .fxw .sbc .bpw .mlb .saf .trm .xeq .sbd .fcpa .tdr

.acm .lin .dsb .vyp .emd .bpf .mws .gsb .mlc .nni .cus .ldr .inv .omf .reb .qdfx .coa .rec .rda .ffd .ddd .ess

.qbmd .afm .vyr .acr .dtay .pcif .cat .ent .fyc .jsd .zka .hbk .mone .cdf .gfi .cht .por .qbz .ens .pxa .intu

.trn .jsda .fcpr .qwmo .pfx .der .nap .crt .csr .pem .gpg .key .menu .sqlitedb .accdb .sln .suo .class .vcd

.iso .backup .snt .vsdx .edb .lnk .dbz .pbd .afp .agdl .aiff .aim .aip .ais .ait .allet .amf .amr .amu .amx

.amxx .ans .aoi .ape .api .apj .apk .apnx .ari .arj .aro .arr .arw .asa .ascx .ase .ashx .asmx .aspx .asr .asset

.avs .awg .azf .azs .azw .backupdb .bad .bank .bar .bck .bcp .bdb .bdp .bdr .bra .bib .bic .big .bik .bin

.bkf .bkp .bkup ,blend .blob .blp .bmc .bmf .bml .boc .bpk .bpl .bsa .bsk .bsp .btoa .bvd .cag .cam

.camproj .cap .car .cas .cbf .cbr .cbz .ccd .ccf .cch .cdi .cdrw .cef .cer .cert .cfg .cfr .cgf .cgi .cgp .chk

.chml .cib .clr .cls .clx .cmf .cms .cmt .cnf .cng .cod .col .con .conf .config .contact .cpi .cpio .craw .crd

.crw .crwl .crypt .crypted .cryptra .csh .csi .cso .ctt .cty .cue .cwf .dal .dap .das .dash .database .dayzprofile

.dazip .dba .dbb .dbfv .dbx .dco .dcp .dcs .dcu .ddc .ddcx .ddco .ddrw .default .dem .desc .design

.desklink .dev .dex .dfm .dic .dii .dim .dime .dir .directory .disc .disk .dit .divx .diz .dlc .dmg .dmp .dob

.dox .dpk .dpl .dpr .drf .dsk .dsp .dvd .dvi .dvx .dxb .dxe .dxg .efl .efr .efu .eip .elf .emc .emf .enc .enx

.epk .epub .eql .erbsql .erf .err .esf .esm .euc .evo .exf .exif .faq .fcd .fdb .fdr .fds .fff .fhd .flf .flp .flvv .for
.forge .fos .fpenc .fpk .fpp .fsh .fss .fxg .gam .gfe .gfx .gho .gray .grey .grf .groups .gry .gthr .gxk .gzig

.gzip .hbx .hdd .hex .hkdb .hkx .hplg .hqx .htm .htpasswd .hvpl .ibank .ibz .icxs .idl .idx .iiq .incpas .ink

.ipa .isu .isz .itdb .itl .itm .iwd .iwi .jac .jav .jbc .jfif .jge .jgz .jif .jiff .jnt .jpc .jpe .jpf .jpw .json .just .kdb
.kdbx .kde .klq .kmz .kpdx .kwd .kwm .laccdb .lastlogin .layout .lbf .lbi .lcf .lcn .ldb .lgp .lib .lit .litemod

.localstorage .pla .lrf .ltm .ltr .ltx .lvivt .lvl .mag .man .map .mapimail .mbox .mbx .mcd .mcgame .mcmeta

.mcrp .mdbackup .mdc .mddata .mdl .mdn .mds .meo .mfw .mic .mim .mime .mip .mjd .mlx .mme .mobi

.mod .moneywell .mos .movie .moz .mp3 .mpq .mpqge .mrw .mrwref .mse .msi .msp .mts .mui .mxp .nav

.ncd .ncf .ndd .ndf .nds .nfo .nop .now .nrg .nri .nrw .nsd .nsf .nsg .nsh .ntl .number .nvram .nwb .nxl .nyf

.obj .odf .odi .oft .oga .ogg .oil .opd .opf .oth .owl .oxt .pab .pack .pages .pak .pbf .pbk .pbp .pbs ,pcv

.pdc .pef .pkb .pkey .pkh ,pkpass .plc .pli .ppd .prc .props .prproj .prt .psa .psk .pspimage .pub .puz .pwf

.pwi .pwm .pxp .qed .qic .qpx .qtq .qtr .ram .rat .rdb .rdi .res .result .rev .rgn .rim .rll .rng .rofl .rrt .rsdf

.rsrc .rsw .rte .rts .rtx .rum .run .rvt .rwz .rzk .rzx .sad .safe .sav .save .scm .scn .scx .sda .sdb .sdc .sdn .sdo

.sds .sdt .sef .sen .sfs .sfx .sqz .shar .shr .shy .sid .sidd .sidn .sie .sis .slm .slt .sme .snk .snp .snx .spd .spr

.sqlite .sqllite .sqx .srt .srw .ssa .stt .stx .sud .suf .sum .svi .svr .swd .switch .sxg .syncdb .tch .tcx .tex .thm

.thmx .tlz .toast .tor .torrent .tpu .tpx .trp .tur .txd .uax .udf .uea .umx .unr .unx .upk .upoi .url .usa .usx

.utc .utx .uud .uue .uvx .uxx .val .vault .vbox .vdo .ver .vhd .vhdx .vlc .vlt .vmf .vmsd .vmt .vmsd .vmt .vmxf

.vpk .vsi .vtf .wab .wad .wallet .war .wave .waw .wbk .wdgt .wmd .wmdb .wmmp .wmo .wmx .wotreplay

wow .wpe .wpk .wpl .wsh .wtd .wtf .wvx .xis .xlv .xlwx .xpi .xps .xpt .xsl .xtbl .xvid .xwd .xxe .xxx .yab .ycbcra

.yenc .yml .ync .yps .zap .zoo .zps .zymp .cry .lay6 .tax2 .tax1 .int? .tax0 .sqlite3 .inetoc2 .agd1 .arch00

.automaticdestinations-ms .azw1 .azw3 .azw4 .cdr3 .cdr4 .cdr5 .cdr6 .d3dbsp .db_journal .db-journal
.lngttarch2 .m2ts .mp4v .mpv2 .plus_muhd .psafe3 .psw6 .qcow2 .rgss3a .s3db .sas7bdat .sv2save .search-ms

.tax2013 .tax2014 .tax2015 .tax2016 .tax2017 .tax2018 .tbz2 .unity3d .vfs0 .vpp_pc .fbk .lgo .rem .dsh

.fng .tbr .AVB .arl .rtm .backup_sqlserver .qvw .ntf

 

[표 1] 암호화 대상 확장자


 

 

 

 

암호화 동작 후에 아래 [그림 11] 과 같이 경고창이 뜨며 랜섬노트와 동일한 내용이 적혀있다.

 

 

[그림 11] 암호화 동작 후에 나오는 경고창[그림 11] 암호화 동작 후에 나오는 경고창

 

 

 

 

 

경고창에서 확인을 눌렀을 경우, 아래 [그림 12] 와 같이 바탕화면이 변한다.

 

[그림 12] 감염 후 바탕화면[그림 12] 감염 후 바탕화면

 

 

 

 

4. 결론

Xorist 랜섬웨어는 발견된지 얼마되지 않아 정확한 유포경로가 불확실한 만큼 평소 PC사용에 있어서 주의를 기울여야 한다. 또한 서비스형 랜섬웨어로 추정되는 만큼 다양한 변종이 등장할 가능성을 염두해 두어야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 13] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 13] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 14] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 14] TACHYON Internet Security 5.0 랜섬웨어 차단 기능