분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 'CryptoMix ransomware' 감염주의

TACHYON & ISARC 2017. 9. 7. 10:27

CryptoMix ransomware(변종) 분석




1. 개요 


랜섬웨어는 사용자 PC에 저장되어 있는 파일들을 암호화하여 이를 인질로 삼아 금전을 요구하는 악성 코드다. 최근 국내 기업에서도 랜섬웨어로 인한 피해 사례가 급증하고 있다. 랜섬웨어 제작자는 익명성을 보장해주는 비트코인 및 토르를 이용하여 추적을 어렵게 만들기 때문에 이를 악용한 사이버 범죄는 계속해서 늘어날 것으로 보여진다.


이번 보고서에서 다루는 ‘CryptoMix Ransomware’ 변종은 앞서 말한 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CryptoMix.exe (임의의 파일명)

파일크기

241,152 byte

진단명

Ransom/W32.CryptoMix.214152

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .ERROR 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.





3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 실행 된 자기 자신과 %ProgramData%경로에 ‘BC0D3BB1E1.exe’ 이름으로 복사된 동일한 파일을 모두 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.ERROR’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.



[그림 3] 볼륨 쉐도우 복사본 삭제 [그림 3] 볼륨 쉐도우 복사본 삭제



3-4. 랜섬 노트

파일 암호화가 완료되면 복호화 방법을 알려주는 랜섬노트가 출력된다. 복호화 방법으로 이메일을 통해 식별키를 전송하라고 표기되어 있으며, 랜섬웨어 특성상 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트




4. 결론


4-1. 정보 전송 및 다운로드

이번 보고서에서 알아 본 ‘CryptoMix Ransomware’ 변종은 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면