분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 모바일 결제방식 추가, Rokku 랜섬웨어 주의

TACHYON & ISARC 2016. 4. 28. 17:27

Rokku 랜섬웨어 분석 보고서 



 

 







1. 개요

2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다최근 가장 많이 발견되고 있을 뿐만 아니라한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다.


게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다.


이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

rokkuRansom.exe (임의의 파일명)

파일크기

681,984 Byte

진단명

Trojan/W32.Deshacop.681984

악성동작

파일 암호화, Bit-coin 요구






 


2-2. 유포 경로

랜섬웨어의 일반적인 유포 방식은 이메일을 통한 첨부파일 방식이었다하지만 랜섬웨어의 종류가 증가함과 동시에 유포 방식 또한 다양해지고 있다근래에 들어서는 사회적 공학기법을 이용한 이메일 기법 외에도 각종 취약점과 스크립트를 통한 자동 다운로드 등 복합적인 방식으로 유포를 하고 있다.




3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어와 마찬가지로 각종 파일들을 암호화 하고 기존 파일명을 “.rokku” 로 변경한다또한암호화를 수행하는 모든 경로에 “README_HOW_TO_UNLOCK” 이름의 랜섬웨어 관련 텍스트 파일과 html 파일을 드롭하여 감염자에게 금전을 요구한다.

 



[
그림 1] 랜섬웨어 실행 후 암호화 된 파일 목록





3-2. Bit coin 을 통한 금전 요구

파일을 암호화 한 뒤 각 폴더에 생성 된 “README_HOW_TO_UNLOCK” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소(http://z****2****l****m.onion)를 제공하고 있으며 해당 페이지에서는 Bit coin 지불과 관련된 내용과 1개의 파일을 시험적으로 복호화 할 수 있게 했다파일 복호화는 자신들이 만든 복호화 툴을 다운로드 하게하여, Bit coin 을 내고 받은 키를 입력하면 복원되게 했다.


특이한 점은 이전 여러 랜섬웨어가 금전을 지불하고도 제대로 복호화 해주지 않는다는 소문이 돌아 랜섬웨어에 감염된 사용자들이 애초에 복호화를 포기하는 경우가 많았는데이런 경우를 인식했는지 시험용 파일을 하나 복호화 해준다또한금전 지불 방식에 있어서 모바일 결재방식을 추가하였다.

 



[그림 2] 파일 암호화 후 연결되는 인터넷 페이지

 



[그림 3] 랜섬웨어 금전요구 페이지



[
그림 4] 시험 복호화를 위한 키 조회

 




[그림 5-1, 5-2] rokku 파일 복호화에 쓰이는 전용 프로그램 및 다운로드

 



[
그림 6] 1개의 시험 복호화 시 원본파일로 복원된 모습

 



[
그림 7] QR코드 인식 시 비트 코인 지불을 요구하는 화면





4. 결론

랜섬웨어는 그 기술뿐만 아니라 돈을 전달받을 방식이나 범죄행위의 구성심지어 설명페이지의 디자인까지 섬세해지고 정교해지고 있다정교해진 랜섬웨어의 무차별 공격에 따른 피해는 오로지 사용자가 감당해야 하는 것이 현실이다


결국 PC를 사용하는데 있어서 기본적인 보안 수칙이나 습관들이 더욱 중요해지고 있다출처가 불확실한 메일/파일은 열어보는 것을 자제하고사용자 계정 컨트롤(UAC) 설정을 사용하며최신 제품으로 업데이트 등 기본적인 보안수칙만 지켜도 상당한 부분 안전해 질 것이다.


또한 로컬 그룹 정책을 사용하여 소프트웨어 실행 제한을 걸어두는 정책도 임시폴더 등의 위치에서 실행되는 악성코드의 실행을 방지하는 좋은 방법이 될 수 있다소프트웨어 실행 제한이란 윈도우 그룹 정책 중 하나로써 특정 폴더에서의 파일 실행을 제한해 준다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)




[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면