[악성코드 분석] 4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의

4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의

1. 개요 

최근 전세계를 대상으로 공격을 감행한 ‘워너크라이’ 랜섬웨어로 인하여 어느때보다 언론 및 일반 PC사용자들이 악성코드에 대한 관심이 높아지고 있다.

‘DMA Locker 4.0’ 랜섬웨어는 새로 발견된 랜섬웨어는 아니지만, 아이콘이 PDF형태이고 원격지에서 암호화에 사용되는 공개키와 함께 명령문을 전달받아 동작을 수행하므로 사용자의 주의가 필요하다. 

현재 분석시점에서는 원격지와의 연결이 원활하지 않아 암호화 동작을 수행하고 있지 않지만 감염된 PC에서 악성코드가 프로세스에 상주해 있기 때문에 원격지와 연결이 된다면 언제든지 암호화가 가능할 것으로 보인다.

이번 보고서에서는 ‘DMA Locker 4.0’ 랜섬웨어의 주요 동작을 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	svchosd.exe
파일크기	344,064 Byte
진단명	Ransom/W32.DmaLocker.344064
악성동작	파일 암호화, 금전 요구

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.

2-3. 실행 과정

현재 발견 된 ‘DMA Locker 4.0’ 랜섬웨어는 스팸메일이나 무료 다운로드 웹사이트의 첨부파일을 다운로드하였을 때 PDF형태의 아이콘으로 위장되어 있어 사용자가 이를 실행할 경우 감염된다. 

여타 랜섬웨어 같은 경우 실행됨과 동시에 암호화 동작을 수행하여 바탕화면을 변경시키지만, 해당 랜섬웨어 같은 경우 ‘svchost.exe’와 유사한 이름의 ‘svchosd.exe’ 프로세스를 실행하여 원격지와 통신을 시도한다. 원격지에서 명령을 전달받은 경우 암호화 동작을 수행하여 비트코인을 요구하는 것으로 확인 된다.

[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면

3. 악성 동작

3-1. 자동 실행 등록

해당 랜섬웨어는 ‘svchosd.exe’ 실행파일을 ‘Windows Firewall’ 이라는 이름으로 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하여도 로그온하면 다시 실행 되도록 한다. 

[그림 2] 자동 실행

3-2. 파일 암호화

‘DMA Locker 4.0’ 랜섬웨어는 파일 암호화에 사용되는 공개키를 랜섬웨어 실행파일에 포함시키지 않고 개별ID와 함께 다운로드 되어 레지스트리에 저장한 후 암호화에 사용되고 있는 것으로 확인 된다. 

하지만, 현재 분석시점에서는 원격지로부터 개별ID와 함께 공개키가 다운로드 되지 않기 때문에 실제 파일 암호화를 수행하고 있지 않다.

[그림 3] 데이터 수신

[그림 4] 개별 ID와 공개키 저장

해당 랜섬웨어는 사용자 PC를 탐색하며 아래 [표1]에 해당하는 폴더명과 확장자를 제외한 나머지 모든 확장자에 대해서 암호화 동작을 수행하는 것으로 확인 된다. 

구분	내용
암호화 제외 대상 폴더	“\Windows\” “\WINDOWS\” “\Program Files\” “\Program Files (x86)\” “Games” “\Temp” “\Sample Pictures” “\Sample Music” “\cache” “\Cache”
암호화 제외 대상 파일 확장자	“.exe”, “.msi”, “.dll”, “.pif”, “.scr”, “.sys”, “.msp”, “.com”, “.lnk”, “.hta”, “.cpl”, “.msc”, “.bat”, “.cmd”, “.scf”

[표 1] 암호화 제외 대상 폴더 및 확장자

또한, 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 다음과 같이 “!DMALOCK4.0” 시그니처를 추가 한다.

[그림 5] 암호화 된 파일에 시그니처 추가

3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 

[그림 6] 시스템 복원 기능 무력화

3-4. 금전 요구

파일 암호화가 완료되면 ‘DMA Locker 4.0’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구한다. 여타 랜섬웨어들이 추적을 어렵게 하기 위해 Tor브라우저를 사용하는 반면 해당 랜섬웨어는 피해자의 개별아이디를 덧붙인 URL을 제공하고 있다. 하지만 현재 분석시점에서는 해당 웹사이트로 접근이 되고 있지 않아 자세한 내용은 확인되지 않고 있다.

[그림 7] 텍스트 형식의 랜섬노트

4. 결론

‘DMA Locker 4.0’ 랜섬웨어는 아직 다른 랜섬웨어에 비해 큰 피해를 일으키고 있지 않은 것처럼 보여지지만, 계속해서 업그레이드 버전을 출시하고 있기 때문에 다른 변종이 발견되어 활성화될 경우 큰 피해로 이어질지도 모른다.

최근 ‘워너크라이’ 랜섬웨어 사태로 인하여 랜섬웨어가 사회적으로 얼마나 큰 혼란을 주는지 확인되었기 때문에, 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면