한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의
1. 개요
‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.
CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.
이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | revenge.exe |
파일크기 | 116,224 byte |
진단명 | Ransom/W32.Revenge.116224 |
악성동작 | 파일 암호화 |
해쉬(MD5) | 3BCEADD4C2C546ABA24E24307F1DEFCD |
2-2. 유포 경로
웹브라우저의 취약점을 공격하는 ‘RIG Exploit Kit’을 이용하여 웹을 통해 유포된다.
2-3. 실행 과정
해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 확장자를 REVENGE 로 변경한다. 파일 암호화 시 사용 된 AES 암호화 키는 다시 한번 RSA-1024 방식으로 암호화 된다. 또한 관리자 권한으로 실행하기 위해서 ‘Windows Defender’ 가짜 메시지를 출력하여, 사용자의 클릭을 유도해 권한을 상승한다. 파일 암호화 이후 아래 그림과 같은 .txt 포맷의 랜섬노트를 띄운다.
랜섬노트에는 ‘Revenge’ 랜섬웨어 복호화를 안내하는 내용이 있으며, 결제를 위한 메일 주소를 포함하고 있다.
![[그림1] 랜섬노트](https://t1.daumcdn.net/cfile/tistory/2502564058E35D0E04)
WMI Commandline Utility를 이용하여 원본악성코드를 호출한다. 권한 상승을 유도하기 위해서 ‘Windows Defender’에서 출력된 메시지처럼 사용자의 [계속] 버튼을 클릭하도록 만든다.
![[그림2] 암호화 진행 중 첫번째 팝업 출력](https://t1.daumcdn.net/cfile/tistory/241AF54058E35D230F)
‘Windows Defender’ 가짜 메시지 창의 [계속] 버튼을 사용자가 클릭하게 되면 아래와 같이 사용자 계정 컨트롤 팝업창을 허용할지 묻는다. 만약 [아니오]를 누르면 해당 메시지 창은 계속해서 발생된다.
![[그림3] 암호화 진행 중 두번째 팝업 출력](https://t1.daumcdn.net/cfile/tistory/26368F4658E35D4022)
관리자 권한으로 실행할지 여부를 묻는 팝업창에서 허용 하게 되면 원본악성코드를 관리자 권한으로 실행 한다. 이러한 과정은 PC사용자를 Windows defender에서 실행하는 과정으로 보이도록 유도한다.
![[그림4] 암호화 진행 중 세번째 팝업 출력](https://t1.daumcdn.net/cfile/tistory/225EBE4258E35D5813)
해당 랜섬웨어는 [그림5]와 같이 .REVENGE의 문자로 확장자를 바꾼다. 그리고 대상 폴더 마다 “# !!!HELP_FILE!!!#.TXT” 라는 랜섬노트를 생성한다.
![[그림5] 암호화 된 파일](https://t1.daumcdn.net/cfile/tistory/222B9A3F58E35D6D0C)
3. 악성 동작
3-1. 파일 암호화
사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.
![[그림 6] 암호화 대상 파일 확장자 일부 내용](https://t1.daumcdn.net/cfile/tistory/265DB14458E35D892E)
해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 파일의 확장자를 .REVENGE 로 변경한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA-1024 공개 키를 사용하여 암호화 한다.
3-2. 볼륨 쉐도우(shadow) 복사본 삭제
사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command Line과 같은 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.
![[그림7] 쉐도우 파일 삭제](https://t1.daumcdn.net/cfile/tistory/2478964158E35DAD31)
4. 결론
최근 ‘Revenge’ 랜섬웨어와 같이 한국인 사용자도 함께 겨냥한 랜섬웨어들이 지속적으로 등장하고 있다. 이에 대비하여 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
![[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/244C1A3D58E35DC509)
![[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/224A384458E35DD80D)
nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)
![[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능](https://t1.daumcdn.net/cfile/tistory/2636974658E35DED27)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [악성코드 분석] Venus Locker의 변종, LLTP Locker 감염 주의 (0) | 2017.04.24 |
|---|---|
| [악성코드 분석] 게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석 (0) | 2017.04.20 |
| [악성코드 분석] 이메일과 웹사이트로 유포된 Spora 랜섬웨어 분석 (0) | 2017.03.27 |
| [악성코드 분석] 2.0 버전으로 나타난 Sage 랜섬웨어 분석 (0) | 2017.02.13 |
| [악성코드 분석] 피해자를 가해자로, PopcornTime 랜섬웨어 (0) | 2017.01.25 |