[악성코드 분석] 2.0 버전으로 나타난 Sage 랜섬웨어 분석

2.0 버전으로 나타난 세이지 랜섬웨어 상세 분석

1. 개요 

지난 12월 CryLocker의 변종인 Sage 랜섬웨어가 나타났다. 당시 여타 랜섬웨어에 비해 활동이 적은 것으로 보였으나, RIG 익스플로잇 킷에 의해 배포되고 있다는 것으로 파악되며 점차 큰 성장세를 엿볼 수가 있었다. 그리고 한달 만에 새로운 2.0 버전으로 다시 유포되기 시작하였다.

이번 분석보고서에서는 Sage 랜섬웨어 2.0 버전에 대하여 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	sage.exe (임의의 파일명)
파일크기	352,328 bytes
진단명	Ransom/W32.SageCrypt.352328
악성동작	파일 암호화, 금전 요구

 

2-2. 유포 경로

해당 랜섬웨어는 스팸 메일을 통해 유포되고 있는 것으로 확인 된다. 주로 첨부 파일의 이름이 EMAIL_[임의의 숫자]_recipient.zip 과 같은 형태로 되어 있는 것을 확인할 수 있다.

2-3. 실행 과정

메일에 첨부된 ZIP 파일에는 JS 파일이 있으며 이를 실행할 경우 암호화 동작을 수행하는 파일을 생성 후 실행하는 것을 확인할 수 있다. 암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경된 것을 확인할 수 있다.

[그림] 감염 후 사용자 바탕화면

3. 악성 동작

3-1. 자동 실행 등록

해당 랜섬웨어를 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %APPDATA% 하위에 복사된 임의의 이름의 랜섬웨어를 가리키고 있다.

[그림] 자동 실행 링크 파일 생성

3-2. 볼륨 섀도 복사본 제거

사용자가 PC를 암호화 하기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command line과 같은 명령어로 기존에 생성된 볼륨 섀도 복사본을 모두 삭제한다.

[그림] 볼륨 섀도 복사본 제거

3-3. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 “.sage” 라는 확장자를 덧붙인다.

[그림] 암호화 된 파일

암호화 대상이 되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일 확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img .cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf .m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv .pdf .djvu .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz .rar .zip .arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .db .sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb .mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra .bay .pcd .dng .ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg .uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg .pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm .txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .xlr .odc .xlk .ppsx .obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab .cmd .bat .h .asx .lua .pl .as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs .asm .pas .cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf .tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html .ico .ipe .dwg .jng .cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl .indl .dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst .inx .plt .idml .pmd .psp .ttf .3dm .ai .3ds .ps .cpx .str .cgm .clk .cdx .xhtm .cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017 .tt20 .qsm .2015 .2014 .2013 .aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo .stc .lgb .qwc .qbp .qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx .t13 .ebc .ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf .tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci .npc .qbmb .sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb .tt15 .ssg .t09 .epa .qch .pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv .kd3 .vmb .qph .t08 .qel .m12 .pvc .q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2 .qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld .quic .mbsb .nl2 .qml .wac .cf8 .vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01 .fcr .gnc .ldc .t05 .t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc .mnp .qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql .dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t .00c .qmt .cfdi .u10 .s12 .qme .int? .cf9 .ta5 .u08 .mmb .qnx .q07 .tb2 .say .ab4 .pma .defx .tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99 .mn9 .qem .scd .mwi .mrq .q98 .i2b .mn6 .q08 .kmy .bk2 .stm .mn1 .bc8 .pfd .bgt .hts .tax0 .cb .resx .mn7 .08i .mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam .btif .11t .efsl .$ac .emp .imp .fxw .sbc .bpw .mlb .10t .fa1 .saf .trm .fa2 .pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd .pr1 .mn2 .bpf .mws .h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa .rec .rda .ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10 .ent .fyc .p08 .jsd .zka .hbk .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens .3pe .pxa .intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap .p12 .p7c .crt .csr .pem .gpg .key

[표 1] 암호화 대상 파일 확장자

3-4. 결제 안내

암호화가 진행되면서 각 폴더에는 “!Recovery_***.html” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.

[그림] 랜섬노트

4. 결론

Sage 랜섬웨어가 한달 만에 새로운 버전으로 돌아왔다는 점에서 Cerber 랜섬웨어와 같이 지속적으로 변종을 생성할 수도 을 것으로 보인다. 현재 RIG 익스플로잇 킷과 결합한 Sage 랜섬웨어는 공격적인 유포 방식을 전개할 가능성이 있어 주의가 필요하다. 

랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능