동향 리포트/월간 동향 리포트

11월 랜섬웨어 동향 및 MainBat 랜섬웨어 분석보고서

TACHYON & ISARC 2019. 12. 9. 10:26

1. 11월 랜섬웨어 동향

2019년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 스팸메일을 통해 다수 유포 되었다. 해외에서는 스페인 컨설팅 회사인 Everis가 랜섬웨어 공격을 받았으며, 미국의 웹 호스팅 회사 SmarterASP.NET가 랜섬웨어 공격으로 웹사이트 기능이 마비된 사건이 있었다.
이번 보고서에서는 11월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 11월 등장한 MainBat 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.


1-1. 국내/외 랜섬웨어 소식

Nemty 랜섬웨어 유포 사례

11월 한달 동안 Nemty 랜섬웨어가 ‘공정거래위원회’나 ‘입사지원서’로 위장하여 첨부파일을 포함한 스팸메일 형태로 유포 되었다. 첨부파일 내부에는 문서 파일로 위장한 이중 확장자 형태 [hwp.(긴공백).exe]의 랜섬웨어가 포함되어 있었다. 한편, Nemty 랜섬웨어는 지난 8월 처음 등장해서 최근 발견되는 2.0 버전까지 국내에서 유포 된 사례가 있기 때문에, 사용자들은 주의를 기울일 필요가 있다.
 

[그림 1] Nemty 랜섬웨어 랜섬노트

 

 

 

 

스페인 컨설팅 회사 Everis, 랜섬웨어 피해 사례

11월 초, 스페인 최대의 컨설팅 회사인 Everis가 랜섬웨어에 감염된 것으로 알려졌다. 해당 공격은 MSP(Managed Service Provider)를 대상으로 하는 타깃공격으로 보이며, 파일을 암호화 한 뒤 ‘.3v3r1s’ 확장명을 사용하며 공개된 랜섬노트로 보아 BitPaymer 랜섬웨어인 것으로 밝혀졌다. Everis는 피해 직후, 네트워크 연결을 차단하며 더 이상의 확산을 막았으며 아직 데이터 복구 여부는 알려지지 않았다. 한편, BitPaymer 랜섬웨어는 최근 Apple사 소프트웨어 취약점을 통해 유포 된 사례가 있으며, DoppelPaymer 라는 변종 또한 몇몇 피해사례가 알려지고 있다.
 

[그림 2] BitPaymer 랜섬웨어 랜섬노트



 

 

미국 웹 호스팅 회사 SmarterASP.NET, 랜섬웨어 피해 사례

11월 초, 미국에 본사를 둔 웹 호스팅 사인 SmarterASP.NET가 랜섬웨어 공격을 받았다. 해당 랜섬웨어는 고객들의 웹 호스팅 계정을 대상으로 암호화를 진행 했기 때문에, 웹사이트의 기능이 마비되어 사용하는데 큰 지장이 있었다. 그러나 해당 회사는 단 며칠 만에 약 90% 정도의 계정 및 데이터를 복구했다고 발표했다. 이러한 발표 이후 복구가 지나치게 빠르기 때문에 랜섬머니를 지불했다는 의혹이 증폭되기도 하였다. 아직 정확한 유포 경로에 대한 사실이 알려지지 않았으며, 해당 랜섬웨어는 암호화 후 파일 끝에 ‘kjhbx’ 확장자를 덧붙이는 Snatch 랜섬웨어로 알려졌다.
 

[그림 3] Snatch 랜섬웨어 랜섬노트




 

1-2. 신종 및 변종 랜섬웨어

AnteFrigus 랜섬웨어

11월 초 발견된 AnteFrigus 랜섬웨어는 특이하게 C 드라이브는 암호화 하지 않고, D, E, F 등 다른 드라이브를 대상으로 암호화 동작을 하는 것으로 밝혀졌다. 암호화한 파일 뒤에 ‘.qrja’ 라는 확장자를 추가한다. 그러나 한글 이름으로 된 파일을 대상으로는 암호화 동작은 진행하지만, 확장자는 추가하지 않는 것으로 알려졌다. 아직 정확한 유포 경로는 알려지지 않았지만, 국내에도 발견된 만큼 사용자들은 항상 주의를 기울일 필요가 있다.
 

[그림 4] AnteFrigus 랜섬웨어 랜섬노트



 

Clop 랜섬웨어

올해 2월 기업을 대상으로 유포되었던 Clop 랜섬웨어가 백신을 우회하기 위한 기능을 추가한 채 발견되었다. Windows Defender를 비활성화 하기 위해 ‘동작 모니터링’, ‘실시간 보호’, ‘Microsoft로 샘플 업로드’ 등 다양한 레지스트리 값을 추가하여 해당 기능을 비활성화 한다. 또한 해외 한 보안업체의 백신을 제거하는 코드도 포함 되어 있다고 알려졌다. Clop 랜섬웨어는 2월 처음 발견되었으며, 국내를 대상으로 유포되었었기 때문에 주의를 기울여야 하며, 추가적인 변종이 발견될 가능성이 있다.
 

[그림 5] Clop 랜섬웨어 랜섬노트



 

Death 랜섬웨어

11월 중순, 암호화 후 ‘.wctc’ 확장자를 추가하는 Death 랜섬웨어가 발견되었다. 그러나 실제 암호화 동작은 진행되지 않고 확장자만 추가하는 방식이었다. 이후 11월 말 암호화 확장자는 변경하지 않지만, 실제 암호화를 진행하는 Death 랜섬웨어 샘플이 발견되었다. 해당 랜섬웨어에 대해 아직 정확한 유포 경로나 피해사례는 알려지지 않은 상태이다.
 

[그림 6] Death 랜섬웨어 랜섬노트




 

2. MainBat 랜섬웨어 분석보고서

최근 테스트 목적으로 만들어진것으로 보이는 MainBat 랜섬웨어가 발견되었다. 배치 파일(.bat)을 통해 동작하며, 파일 암호화가 아닌 데이터 파괴를 하기 때문에 랜섬웨어에 감염될 경우 복구가 불가능할 것으로 보인다. 아직까지 피해사례가 알려지진 않았지만, 사용자들은 평소 PC사용에 있어 주의가 필요하다.
이번 보고서에서는 최근에 등장한 MainBat 랜섬웨어에 대해 알아보고자 한다.

 

2-1. 파일 정보

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


2-3. 실행 과정

MainBat 랜섬웨어가 실행되면 특정 경로에 exe파일과 bat파일을 드롭 한다. 이후 드롭 된 bat파일을 실행 시키며, 암호화 대상이 되는 경로의 파일들을 선별하여 암호화 하고 [그림 7] 과 같이 랜섬노트를 띄운다. 랜섬노트의 내용을 살펴보면, 이것은 테스트용 악성코드이며 실제로는 데이터가 파괴되지 않았다고 나온다. 그러나 확인결과 데이터는 파괴되었으며, 공격자와 연락할 수단이 나와있지 않기 때문에 복구는 힘들 것으로 예상된다.
 

[그림 7] MainBat 랜섬웨어 랜섬노트




3. 악성 동작

3-1. 파일 드롭 및 배치 파일 실행

랜섬웨어가 실행되면, ‘C:\Users\[사용자명]\AppData\Local\Temp’ 경로에 [그림 8] 과 같이 ‘7za.exe’파일과 ‘main.bat’ 파일을 드롭 한다.
 

[그림 8] 드롭 된 파일



 

드롭 한 ‘main.bat’ 파일을 cmd창을 통해 실행 시킨다.
 

[그림 9] 배치 파일 실행



 

해당 배치 파일의 내용에 따라 본격적인 랜섬웨어 동작이 실행 된다.
 

[그림 10] 배치 파일 내용




3-2. 파일 복사 및 실행

드롭 된 두 파일을 ‘C:\Users\[사용자명]’ 경로로 복사를 진행한다. ‘7za.exe’ 파일은 그대로, ‘main.bat’ 파일은 ‘crypt.bat’ 파일로 이름을 변경하여 복사한다. 이후 ‘crypt.bat’ 파일을 실행 시키고, 기존 경로의 두 파일은 삭제한다.
 

[그림 11] 복사된 파일



 

‘7za.exe’를 실행 시켜, 암호화 대상이 되는 경로의 파일들을 복사해서 ‘crypt.zip’ 파일을 만든다. 암호화 대상 경로는 아래 [표 1] 과 같다.

[표 1] 암호화 대상 경로




3-3. 파일 암호화

‘crypt.zip’에 존재하는 암호화 대상 경로의 파일들을 ‘FileList.txt’ 라는 파일로 저장한다.
 

[그림 12] 암호화 대상 파일 리스트



‘FileList.txt’ 의 내용에 있는 파일들을 대상으로 암호화를 진행 한 뒤 [그림 13] 와 같이 ‘.crypt’ 확장자를 추가한다.
 

[그림 13] 암호화 된 파일



 

암호화 된 파일 내용을 살펴보면, 기존 파일 내용을 모두 지우고 ‘1KB’의 데이터로만 채워져 있다. 이는 암호화 된 모든 파일에 해당 되고, 데이터 복구가 불가능 할 것으로 보인다.
 

[그림 14] 암호화 된 파일 내용




 

4. 결론

MainBat 랜섬웨어는 아직 테스트 단계인 랜섬웨어로 보이지만, 감염 되었을 경우 파일 복구가 불가능해 피해가 클 것으로 예상되기 때문에 각별한 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 15] TACHYON Internet Security 5.0 진단 및 치료 화면