분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘Hacked ransomware’ 분석

TACHYON & ISARC 2017. 9. 28. 18:13

‘Hacked ransomware’ 감염 주의




1. 개요 


최근 한 보안연구원에 의해 원본파일 확장자명 뒤에 ‘hacked’ 를 덧붙이는 형태의 랜섬웨어가 발견되었다. 


해당 랜섬웨어에 감염이 되면, 윈도우 업데이트를 진행하는 듯한 팝업 화면을 보여주고 사용자 PC의 중요 파일들을 암호화하여 이를 사용할 수 없게 만든다. 그리고 암호화 된 파일에 대해서 금전을 요구하고 있어 사용자들의 주의가 요구된다.


이번 보고서에서는 4개 언어로 복호화 비용을 안내하는 ‘Hacked’ 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

(임의의 파일명).exe

파일크기

2,466,304 byte

진단명

Ransom/W32.Hacked.2466304

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어가 실행되면 윈도우 업데이트를 진행하는 듯한 팝업창을 사용자에게 보여준다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.hacked’ 확장자를 덧붙인다. 그리고 복호화를 안내하는 팝업창과 함께 ‘.TXT’ 형식의 랜섬노트를 바탕화면에 생성한다.


[그림 1] 사용자를 속이는 윈도우 업데이트 진행 화면[그림 1] 사용자를 속이는 윈도우 업데이트 진행 화면


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면







3. 악성 동작


3-1. 작업 스케줄러 등록

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리에 등록을 했던 반면, 해당 랜섬웨어는 작업 스케줄러에 다음과 같이 등록하여 재부팅 하고 다시 사용자가 PC에 로그온하면 실행되어 암호화를 재개한다.


[그림 3] 등록된 예약 작업[그림 3] 등록된 예약 작업






3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.hacked’ 라는 확장자가 덧붙여지며, ‘how_to_decrypt_files.txt’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 4] 파일 암호화[그림 4] 파일 암호화



구분

내용

 

 

 

암호화 대상 파일

확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .qss .qst .fx0 .fx1 .ipg .ert .pic .# .img

.cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi

.mp4 .flv .mkv .3gp .asf .m3 .u .m3u8 .wav .mp3 .m4a .m .rm .f .mp2

.mpa .aac .wma .pdf .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z

.tar .7z .tg .rar .ziparc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow

.accd .sqli .sdf .mdf .myd .frm .odb .mdb .ibd .sql.cgn .wpg .tif.xcf .tiff

.xpm .nef .orf .ptx .r3d .raf .rw2 .sr2 .srf .dip .x3f .log .odg .uop .potx

.pot .pptx .rsspptm .aaf .xla .sxd .pns .wpd .wps .msg .pps .xlam .xltx.

xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt .xlm .xlc .vsd .ots .prn .ods .hwp

.dotm .dotx .docm.docx .dot .cal .shw .txt .csv .xls .ppt .stw .sx .doc .odm .p .swf.html …

[표 1] 암호화 대상 파일 확장자





3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 랜섬노트에 작성되어 있는 주소로 금전을 지불할 것을 요구하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Hacked Ransomware’ 는 이미 사용자들에게 많이 알려진 ‘Jigsaw Ransomware’의 변종으로 볼 수 있다. 하지만 이러한 유사 랜섬웨어들도 일반적인 랜섬웨어들과 마찬가지로 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 피해를 볼수 있기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면