분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의

TACHYON & ISARC 2017. 5. 10. 17:46

다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의



1. 개요 


전세계적으로 많은 피해를 일으키고 있는 랜섬웨어는 불과 몇 년 전까지만 해도 국내에서는 다른 악성코드에 비하여 많은 피해 신고가 접수되지 않았다. 그 이유 중 하나는, 주로 이메일에 첨부된 내용이 영문으로 작성되어 있기 때문에 사용자 입장에서는 확인을 하지 않고 무시하는 경우가 대부분 이었던 것으로 추정된다. 

하지만 근래에는 ‘연말정산 안내’, ‘영수증 첨부’ 등 한글로 교묘하게 위장한 랜섬웨어들로 인하여 국내에서 피해신고가 매년 증가하는 추세이다. 


최근 업데이트 된 ‘Sage 2.2 랜섬웨어’ 는 기존에 유포 된, ‘Sage 2.0 Ransomware’ 와 동일하게 .hwp 확장자 파일을 암호화한다는 점은 같다. 하지만, ‘Sage 2.2’ 는 이전에 지원하지 않았던 한국어 버전의 랜섬노트를 지원하기 때문에 국내 사용자들에게 한층 더 주의를 요구한다.


이번 보고서를 통하여 업데이트 된 ‘Sage 2.2 랜섬웨어’ 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Sage2.2.exe

파일크기

85,504 byte

진단명

Ransom/W32.SageCrypt.85504

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정 된다.



2-3. 실행 과정

‘Sage 2.2 랜섬웨어’ 가 실행되면 %APPDATA%에 원본 실행파일과 같은 실행 파일을 임의의 파일 명으로 드롭한다. 그리고 드롭된 파일이 실행되어 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 [그림 2], [그림 3]과 같이 변경된 것을 확인할 수 있으며, 최초 실행한 원본 파일은 %TEMP%경로에 추가로 드롭된 배치 파일로 인해 삭제 된다.


[그림 1] %temp% 경로에 드롭된 배치파일 정보[그림 1] %temp% 경로에 드롭된 배치파일 정보




‘Sage 2.0 랜섬웨어’ 의 바탕화면 랜섬노트를 비교하였을 때, 변경된 점은 글자색과 내용이 약간 다르다는 것을 확인 할 수 있다.


[그림 2] ‘Sage 2.0 랜섬웨어’ 에 감염 된 사용자 바탕화면[그림 2] ‘Sage 2.0 랜섬웨어’ 에 감염 된 사용자 바탕화면


[그림3] ‘Sage 2.2 랜섬웨어’ 에 감염 된 사용자 바탕화면[그림3] ‘Sage 2.2 랜섬웨어’ 에 감염 된 사용자 바탕화면




3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어를 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 해당 링크 파일은 %APPDATA% 하위 경로에 임의의 이름으로 복사된 랜섬웨어를 가리키고 있다.


[그림 4] 자동 실행 링크 파일 생성 (Sage2.0 버전과 동일)[그림 4] 자동 실행 링크 파일 생성 (Sage2.0 버전과 동일)





3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.sage’ 라는 확장자를 덧붙인다. 하지만 기존 ‘Sage2.0’ 버전과 다르게 아이콘이 자물쇠 모양으로 변경되는 것을 확인 할 수 있다.


[그림 5] ‘Sage 2.0 랜섬웨어’ 암호화 된 파일[그림 5] ‘Sage 2.0 랜섬웨어’ 암호화 된 파일


[그림 6] ‘Sage 2.2 랜섬웨어’ 암호화 된 파일[그림 6] ‘Sage 2.2 랜섬웨어’ 암호화 된 파일


암호화 대상이 되는 파일의 확장자는 다음과 같으며, 기존 ‘Sage 2.0랜섬웨어버전과 비교해봤을 때 동일하다.

구분

내용

암호화 대상 파일

확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img .cur .fxr

.slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf

.m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv .pdf .djvu .jpeg

.jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz .rar .ziparc .paq .bak .set .back

.std .vmx .vmdk .vdi .qcow .ini .accd .db .sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb

.mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra

.bay .pcd .dng .ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg

.uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg

.pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt

.xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm

.txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc

.odm .ppsm .xlr .odc .xlk .ppsx .obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab

.cmd .bat .h .asx .lua .pl .as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs

.asm .pas .cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf .tbk

.swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html .ico .ipe .dwg .jng

.cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl .indl

.dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst .inx .plt .idml .pmd .psp .ttf .3dm .ai

.3ds .ps .cpx .str .cgm .clk .cdx .xhtm .cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017

.tt20 .qsm .2015 .2014 .2013 .aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo

.stc .lgb .qwc .qbp .qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx

.t13 .ebc .ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf

.tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci .npc .qbmb

.sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb .tt15 .ssg .t09 .epa .qch

.pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv .kd3 .vmb .qph .t08 .qel .m12 .pvc

.q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2 .qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld

.quic .mbsb .nl2 .qml .wac .cf8 .vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01

.fcr .gnc .ldc .t05 .t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc

.mnp .qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql

.dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t .00c

.qmt .cfdi .u10 .s12 .qme .int? .cf9 .ta5 .u08 .mmb .qnx .q07 .tb2 .say .ab4 .pma .defx

.tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99 .mn9 .qem .scd .mwi .mrq

.q98 .i2b .mn6 .q08 .kmy .bk2 .stm .mn1 .bc8 .pfd .bgt .hts .tax0 .cb .resx .mn7 .08i

.mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam .btif .11t .efsl .$ac .emp .imp .fxw .sbc

.bpw .mlb .10t .fa1 .saf .trm .fa2 .pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd

.pr1 .mn2 .bpf .mws .h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa

.rec .rda .ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10

.ent .fyc .p08 .jsd .zka .hbk .bkf .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens .3pe .pxa

.intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap .p12 .p7c .crt

.csr .pem .gpg .key

[1] 암호화 대상 파일 확장자

 

‘Sage 2.2 랜섬웨어에서는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 이전 버전과 비교해 봤을 때 새로 추가된 기능인 것을 확인 할 수 있다.

구분

내용

예외 대상 목록의

경로

tmp Temp winnt 'Application Data' AppData ProgramData 'Program Files (x86)'

'Program Files' '$Recycle Bin' '$RECYCLE BIN'

Windows.old $WINDOWS.~BT DRIVER DRIVERS

'System Volume Information' Boot Windows WinSxS DriverStore

'League of Legends' steamapps cache2 httpcache GAC_MSIL

GAC_32 'GOG Games' Games 'My Games' Cookies History IE5

Content.IE5 node_modules All Users AppData ApplicationData

nvidia intel Microsoft System32 'Sample Music'

'Sample Pictures' 'Sample Videos' 'Sample Media' Templates

[2] 예외 대상 목록



3-3. 프로세스 종료

아래 [3]에 있는 대상 프로세스들을 종료하는 기능은 이전 ‘Sage 2.0 랜섬웨어에서 없는 기능이다. 이 기능은 암호화가 진행되면서 현재 실행 중인 특정 프로세스가 있다면 종료한다. 이는 암호화 대상 파일을 대상 프로세스가 사용하고 있는 것을 방지하기 위한 것으로 보인다.

구분

내용

종료 대상 프로세스

“msftesql.exe” “sqlagent.exe” “sqlbrowser.exe” “sqlservr.exe” “sqlwriter.exe”

“oracle.exe” “ocssd.exe” “dbsnmp.exe” “synctime.exe” “mydesktopqos.exe” “agntsvc.exe”

“isqlplussvc.exe” “xfssvccon.exe” “mydesktopservice.exe” “ocautoupds.exe” 

“encsvc.exe” “firefoxconfig.exe” “tbirdconfig.exe” “ocomm.exe” “mysqld.exe”

“mysqld-nt.exe” “mysqld-opt.exe” “dbeng50.exe” “sqbcoreservice.exe”

[3] 종료 대상 프로세스




3-4. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 사용자가 PC를 암호화 하기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다는 점은 이전 버전과 같다. 그러나 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 윈도우 자동 복구를 하지 못하도록 명령어를 수행하는 부분이 추가되어 있는 것을 확인할 수 있다.


[그림 7] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 7] 시스템 복원 기능 삭제 및 부팅 복구 무력화




3-5. 결제 안내

암호화가 진행되면서 각 폴더에는 “!HELP_SOS.hta” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 

또한, ‘Sage 2.2 랜섬웨어’ 와 이전 ‘Sage 2.0 랜섬웨어’ 의 차이점은 파일 암호화를 알려주는 음성 메시지를 들려주고, 랜섬노트가 11개의 언어로 작성되어 있다는 점이다. 음성 메시지는 다른 언어를 선택하여도 영어로만 들려준다.


[그림 8] ‘Sage 2.0’ 랜섬노트[그림 8] ‘Sage 2.0’ 랜섬노트


[그림 9] 한글버전의 ‘Sage 2.2’ 랜섬노트[그림 9] 한글버전의 ‘Sage 2.2’ 랜섬노트




‘Sage 2.2 랜섬웨어’ 제작자들은 랜섬노트에 토르 브라우저에서 접속 가능한 주소를 제공하고 있다.


해당 페이지에서는 ‘SAGE 2.0’ 결제 안내 페이지를 재사용하고 있는 것으로 보이며, 지불방법으로 $515 를 비트코인으로 요구한다. 또한 해당 페이지에서는 주어진 시간이 지나면 복호화 비용을 두배 가격인 $1030 로 높이겠다는 내용을 확인할 수 있다.


[그림 10] 결제 안내 페이지 (1)[그림 10] 결제 안내 페이지 (1)


[그림 11] 결제 안내 페이지(2)[그림 11] 결제 안내 페이지(2)





4. 결론

최근 한국어를 지원하는 랜섬웨어들이 계속 발견되고 있다. 국내 사용자의 피해가 증가하고 있을 뿐만 아니라 감염 형태도 국내 이슈를 활용한 사회공학기법을 이용하고 있어 그 피해가 더욱더 커질 것으로 예상된다. 또한 감염 시 지불안내를 하는 랜섬노트의 ‘한국어’ 번역이 보다 정교해지고 있어 국내 사용자들의 인터넷 사용에 주의가 필요 하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 13] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)