분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘Onion3Cry Ransomware’ 감염 주의

TACHYON & ISARC 2017. 10. 23. 14:30

‘Onion3Cry Ransomware’ 감염 주의


1. 개요 


최근 몇 년 사이, 악성코드 제작자들은 악성코드 중에서도 사용자의 중요 파일을 인질로 삼아 금전을 요구하는 랜섬웨어를 수없이 많이 만들어 유포하고 있다.


과거에도 사용자의 PC를 정상적으로 사용할 수 없게 만드는 악성코드는 무수히 많았지만, 금전을 요구하였을 때 거래 추적이 가능했기 때문에 쉽게 금전을 요구하지 못했을 것으로 추측된다.


하지만 비트코인의 발전으로 거래추적이 어렵다는 점을 악용한 사이버 범죄가 기승을 부리고 있어, 이 문제가 해결되지 않는다면 랜섬웨어 또한, 끊임없이 제작되고 발견되어 피해는 계속해서 일어날 것으로 보인다.


이번 보고서에서는 여러 확장자를 암호화하는 ‘Onion3Cry Ransomware’ 에 대하여 간략하게 알아보도록 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

임의의 파일명.exe

파일크기

404,307 byte

악성동작

드롭퍼, 파일 암호화, 금전 요구








구분

내용

파일명

goupdate.exe

파일크기

37,376 byte

악성동작

파일 암호화, 금전 요구








구분

내용

파일명

winupdate.exe

파일크기

37,376 byte

악성동작

가짜 윈도우 업데이트 표시








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 "C:\Users\inca\AppData\Roaming\Local\Gogle\" 경로에  update 이름의 폴더를 생성 하고 실제 암호화 동작을 수행하는 'goupdate.exe' 'winupdate.exe' 파일이 드롭 되어 실행 된다. 


그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.onion3cry-open-DECRYPTMYFILES' 확장자를 덧붙인다. 


[그림 1] 사용자를 속이는 윈도우 업데이트 화면[그림 1] 사용자를 속이는 윈도우 업데이트 화면





3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 파일암호화와 랜섬노트 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 링크 생성[그림 2] 시작 프로그램 경로에 링크 생성




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘. onion3cry-open-DECRYPTMYFILES’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] AES-256 암호화[그림 3] AES-256 암호화


[그림 4] 파일 암호화[그림 4] 파일 암호화


구분

내용

암호화 대상 파일

확장자

".index", ".zip",".rar",".css",".xlsx",".ppt",".pptx",".odt",".jpg",".bmp",".png",".csv",".sql",

".mdb",".sln",".php",".asp",".aspx",".xml",".psd",".bk",".bat",".mp3",".mp4",".wav",

".wma",".avi",".divx",".mkv",".mpeg",".wmv",".mov",".ogg",".tmp",".xlxx",".docxx",

".msi",".dbx",".txt",".pst",".doc",".docx",".xls",".jpg",".pst",".pdf",".MP4",".gbk",".ico",

".xls",".dat",".JPG",".mdw",".REC",             ".DEC",".cns",".RE"

[1] 암호화 대상 파일 확장자



3-3. 랜섬 노트

암호화가 진행되면서 대상 폴더에는 "### DECRYPT MY FILES ###.exe" 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 비트코인에 대한 내용과 함께 특정 이메일로 문의하라는 내용을 포함하고 있다.


[그림 5] 복호화 안내 문구[그림 5] 복호화 안내 문구




4. 결론


이번 보고서에서 알아 본 ‘Onion3Cry Ransomware’ 는 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지는 않았지만 사용자 PC에 있는 중요 파일들에 대해서 암호화 동작을 수행하기 때문에 결코 가볍게만 볼 수는 없다. 이슈가 되지 않은 랜섬웨어라도 항상 주의를 기울여 피해가 발생하지 않도록 하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.