[악성코드 분석] 'GlobeImposter ransomware' 분석

‘ .SKUNK 확장자를 덧붙이는 ransomware’ 감염 주의

1. 개요 

중요 파일을 암호화하고 이를 인질로 삼아 금전을 요구하는 랜섬웨어는 공격을 성공시키기 위해 여러가지 방법을 이용한다. 

그 중에 가장 많이 사용하는 방법으로 메일 첨부파일로 위장하는 것이다. 이 방법은 사용자가 메일 확인을 통해 쉽게 감염이 되므로 각별한 주의가 필요하다.

이번 보고서에서 다루는 ‘GlobeImposter’ 랜섬웨어는 수없이 많은 랜섬웨어 중 하나로 계속해서 변종이 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	(임의의 파일명).exe
파일크기	69,632 byte
진단명	Ransom/W32.GlobeImposter.69632
악성동작	파일 암호화, 금전 요구

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.

2-3. 실행 과정

해당 랜섬웨어가 실행되면, 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.SKUNK’ 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 바탕화면에 생성한다.

3. 악성 동작

3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.

[그림 1] 자동 실행 등록

3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.SKUNK’ 라는 확장자가 덧붙여지며, ‘how_to_back_files.html’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.

[그림 2] 파일 암호화

구분	내용
암호화 대상 파일 확장자	바탕화면에 있는 모든 확장자

[표 1] 암호화 대상 파일 확장자

3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어는 %TEMP% 경로에 ‘tmp5.tmp.bat’ 파일을 생성하여 사용한다. 이 파일에는 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제하도록 작성되어 있다. 

[그림 3] .bat파일 생성

3-4. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하면 복호화해준다는 내용을 담고 있다. 하지만 이메일에 대한 답변으로 비트코인을 요구할 것으로 보여진다.

[그림 4] 암호화 완료 후 나타나는 랜섬노트

4. 결론

이번 보고서에서 알아 본 ‘GlobeImposter Ransomware’ 는 계속해서 여러 변종들이 발견되고 있다. 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 이메일에 첨부하여 이름을 바꾸거나 숨김 속성으로 바꾸어 실행이 될 경우 피해를 볼수 있기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면