[랜섬웨어 분석] JSWorm 랜섬웨어 분석 보고서

 
업데이트된 JSWorm 4.0.2 랜섬웨어

 

 

 

1. 개요

2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다.
이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.

 

2-3. 실행 과정

JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 디렉토리 아래에 랜섬노트를 생성한다. 생성된 랜섬노트는 재부팅 시 자동실행되도록 레지스트리 등록을 시도한다. 그리고 암호화에 사용된 key값 중 일부가 'key.[id].JSWRM’의 이름으로 파일을 생성하고, 특정 프로그램 종료 및 섀도우 볼륨 삭제 동작을 시도한다.

랜섬웨어에 감염되면 랜섬노트는 모든 디렉토리 아래에 생성된다. 그리고 아래와 같이 생성된 랜섬노트가 실행되어 랜섬웨어에 감염 사실을 알린다. 랜섬노트에는 랜덤으로 생성된 ID와 연락할 수 있는 메일 주소가 있어 피해자에게 금전적인 요구를 한다.
 

[그림 1] 감염 화면

 

C:\ProgramData 경로에 ‘key.[ID].JSWRM’ 파일명으로 특정 문자열에 대하여 AES 암호화하여 생성된 키 값이 있다. 하지만, 감염할 때에는 RSA 암호화도 진행하여 파일 복구에는 어려움이 있다.
 

[그림 2] 생성된 랜섬노트와 키 파일

 

 

[그림 3] AES key

 

파일이 감염되면 ‘파일명.확장자.[ID].[Email].JSWRM’ 으로 파일명이 변경된다.
  

[그림 4] 감염된 파일

 

 

 

3. 악성 동작

3-1. 레지스트리 등록

랜섬노트를 재부팅 시 자동실행되도록 설정하였으나 확장자 명의 차이로 설정되지 않는다.
 

[그림 5] 레지스트리 등록

 

 

3-2. 암호화

암호화는 하기의 표와 같이 시스템 디렉토리 및 일부 파일을 제외하고 이루어진다. 

[표 1] 암호화 제외 대상

 

3-3. 프로세스 종료 및 볼륨 삭제

암호화가 이루어지기 전, 메모리를 소모하는 일부 프로세스를 강제 종료하여 암호화가 잘 이루어지도록 한다. 

 

[표 2] 프로세스 종료 명령

암호화가 이루어지고 난 뒤, 자동 복구 하지 못하도록 아래와 같은 명령을 수행한다.

 

[표 3] 백업 삭제 명령

 

4. 결론

이번 보고서에서 알아 본 ‘JSWorm Ransomware'는 일반적인 랜섬웨어 동작과 동일하지만 지속적인 업데이트로 추후 변종에 대한 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면