[악성코드 분석] ‘AllCry ransomware’ 감염 주의

‘AllCry ransomware’ 감염 주의

1. 개요 

추석 연휴 시작에 앞서, 정상 프로그램으로 위장한 랜섬웨어가 발견됐다. 일반적인 랜섬웨어가 문서파일만 암호화 한 뒤 금전을 요구하는 것과 달리, 해당 랜섬웨어는 특정 조건을 만족하는 파일을 제외한 모든 파일을 암호화 한 뒤 금전을 요구한다. 또한, 랜섬노트에 ‘한글’을 지원하는 것으로 보아, 랜섬웨어 제작자는 국내 사용자 역시 대상으로 삼은 것으로 보인다. 이번 보고서에서는 현재 유포되고 있는 ‘AllCry ransomware’ 에 대해 알아본다

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	Qbridge.exe
파일크기	727,816 byte
진단명	Trojan/W32.Agent.231936.HM
악성동작	드롭퍼

구분	내용
파일명	winsrv.exe
파일크기	231,936 byte
진단명	Ransom/W32.Agent.727816
악성동작	파일 암호화

2-2. 실행 과정

숙주 파일인 Qbridge.exe 파일이 샐행되면, 기존 프로그램인 Qbridge.exe(숙주파일과 이름만 동일하며 다른 파일) 파일과 AllCry 랜섬웨어인 winsrv.exe 파일이 생성된다. 이후, winsrv.exe 가 실행되며 winsrv.exe 는 암호화 동작을 수행하며, 암호화 사실을 확인해 주는 GUI 프로그램 allcry.exe 와 랜섬노트 readme.txt 파일을 생성한다.

3. 악성 동작

3-1. 파일 드롭 및 실행

숙주파일(Qbridge.exe)은 실행 시, 리소스 데이터를 복호화 하여 원래의 Qbridge.exe 파일과 winsrv.exe 파일을 드롭한다. 이후, 두 개의 파일을 실행시킨 후 종료 된다.

[그림 1] AllCry 랜섬웨어 파일 생성 흐름도

3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하나, 암호화 동작 전 특정 원격지에 감염 사용자 정보전송에 실패 할 경우, 암호화를 진행하지 않는다. 현재 분석 시점에서는 해당 원격지에 연결이 되지 않아 암호화를 수행하지 않는다.

암호화 루틴이 동작 할 경우, 현재 실행중인 파일 및 WhiteList 에 등록된 문자열을 포함하지 않은 모든 경로의 모든 파일이 암호화 된다. 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.allcry’ 로 변경한다. WhiteList 에 등록된 문자열은 하기와 같다.

[그림 2] AllCry 원격지 연결 실패

C:\\Windows\System32\winsrv.exe / .allcry / .dll / .msi / readme.txt

[그림 3] Whitelist 관련 문자열이 포함된 메모리 영역

[그림 4] 암호화 수행 전 특정 폴더의 상태

[그림 5] 암호화 수행 후 특정 폴더의 상태

3-3. 암호화 확인 프로그램 연결

해당 랜섬웨어는 .allcry 확장자를 가진 파일을 실행 시, 암호화 관련 안내 프로그램인 allcry.exe 가 실행 되도록 레지스트리 값을 수정 한다. 변경되는 레지스트리 값은 하기와 같다.

[그림 6-1] 변경 된 레지스트리 값

[그림 6-2] 변경 된 레지스트리 값

3-4. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 랜섬노트에 작성되어 있는 주소로 금전을 지불할 것을 요구하고 있다.

[그림 7] 암호화 관련 안내 프로그램

[그림 8] 랜섬노트

4. 결론

이번 보고서에서 분석한 AllCry 랜섬웨어는 특정 문자열만 제외한 모든 파일을 암호화 하기 때문에 원본 파일을 복구하지 않으면, PC 의 정상 사용이 불가능하여 더욱 위협적이다. 사용자들은 출처가 불분명한 파일의 설치 및 실행에 주의를 기울여야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면