[악성코드 분석] 'Israbye Ransomware' 분석 보고서

Israbye Ransomware 분석 보고서 

1. 개요 

최근 특정 국가를 겨냥한 새로운 유형의 랜섬웨어가 발견 되었다. 일반적으로 랜섬웨어는 파일을 인질로 잡고 이를 복구하기 위한 방법으로 금전을 요구한다.

하지만, 이번에 발견 된 ‘Israbye’ 랜섬웨어는 다른 랜섬웨어들과 다르게 특정 국가를 비난하는 내용을 목적으로 제작된 것으로 보이며 금전을 요구하지 않고 데이터파일을 사용할 수 없게 만든다.

또한 윈도우 작업표시줄을 사라지게 하거나 마우스 커서에 특정 문구가 따라다니게 만들어 정상적인 PC이용을 할 수 없도록 만들고 있어 주의가 필요하다.

이번 보고서에서는 ‘Israbye’ 랜섬웨어는 어떠한 동작을 하는지 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	israbye.exe
파일크기	6,978,560 byte
악성동작	데이터 파일 파괴

2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 첨부하여 유포되고 있는 것으로 추정 된다. 

2-3. 실행 과정

‘Israbye’ 랜섬웨어가 실행 되면 ‘임시폴더’ 경로와 ‘시작프로그램’ 경로에 추가적으로 악성동작에 필요한 다수의 파일을 생성하고 실행한다. 다른 랜섬웨어들과는 다르게 파일을 암호화하기 보다는 특정 문자열을 원본 데이터에 덮어 씌워 원본 파일이 유실되도록 만들고 랜섬노트를 띄운다. 해당 랜섬노트는 특정 국가에 대해 비난하는 글이 기재되어 있고 바탕화면이 변경 된 것을 확인 할 수 있다. 

[그림 1] 변경 된 바탕화면 이미지

3. 악성 동작

3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 바탕화면 변경과 작업 표시줄 삭제, 마우스 커서 문자열 추가 그리고 팝업 창을 발생시키도록 한다.

[그림 2] 시작 프로그램 경로에 파일 생성

3-2. 원본 데이터 사용 불가

해당 ‘Israbye’ 랜섬웨어는 데이터 파일을 찾아 특정 문자열로 덮어 씌운다. 그리고 ‘.israbye’ 확장자를 원본 확장자에 덧붙인다. 원본 데이터 파일에 덮어씌워지는 문자열의 내용으로 보아 제작자의 의도가 어떠한 것인지 추측해 볼 수 있다.

[그림 3] 특정 문자열로 교체

덮어씌워 진 문자열 내에는 다음과 같이 사용자 계정이 포함 되었다는 것을 확인 할 수 있다.

[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함

3-3. 랜섬 노트 및 기타 동작

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 원본 데이터를 사용하지 못하게 만든 후 팝업 창을 띄워 사용자에게 보여준다. 다른 랜섬웨어들이 대게 비트코인 지불방법에 대해서 안내를 하지만 해당 랜섬웨어는 제작자가 전달하고 싶은 메시지만 작성되어 있다.

[그림5] 랜섬 노트

그리고 원본 데이터를 사용하지 못하게 하는 것 이외에도 작업표시줄을 사라지게 만들고 마우스 커서에 특정 문구가 따라다니도록 만들어 PC를 사용함에 있어 불편하게 만든다.

[그림6] 변경 된 윈도우 바탕화면

또한, 해당 랜섬웨어는 사용자의 PC에서 자신이 강제 종료 당하지 않기 위해 ‘ProcessHacker’ 나 ‘procexp’ 등을 종료한다.

[그림7] 종료 프로세스 목록

4. 결론

이번 보고서에서 알아 본 ‘Israbye’ 랜섬웨어는 일반적인 랜섬웨어들과는 다르게 특정 국가를 겨냥하여 만든 것으로 추정되고 있다. 일반적인 랜섬웨어와 목적이 다른 만큼 비용을 지불하는 방법으로 파일을 복호화 할 수 없다. 또한, 감염 시 원본 데이터를 사용할 수 없게 만들고 정상적인 PC이용을 어렵게 만들기 때문에 주의 할 필요가 있다. 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.