[악성코드 분석] 일본 기업을 표적으로 하는 Oni 랜섬웨어 주의

일본 기업을 표적으로 하는 Oni 랜섬웨어 유포 주의 

1. 개요 

최근, ‘NotPetya’ 과 ‘Bad Rabbit’ 등과 같이 기업을 표적으로 하는 랜섬웨어가 기승을 부리고 있다. 이번에는 일본 기업을 표적으로 하는 ‘Oni’라는 랜섬웨어가 등장해 사용자의 주의를 요하고 있다. 해당 랜섬웨어는 일본어로 쓰여진 랜섬노트가 특징이다. 파일을 암호화 한 후 확장자를 ‘. oni’로 변경하기 때문에 해당 랜섬웨어는 ‘Oni’로 명명 되었다. 

이번 분석 보고서에서는 ‘Oni’ 랜섬웨어 유포 사례를 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	Oni.exe
파일크기	99,840 byte
진단명	Ransom/W32.Oni.99840
악성 동작	파일 암호화

2-2. 유포 경로

해당 랜섬웨어는 ‘領收証(영수증)’ 이라는 제목의 메일에, 매크로가 포함된 악성 문서 파일을 ‘.zip’으로 압축 및 첨부하여 주로 일본 기업 등에 유포되고 있는 것으로 확인된다. 메일을 받은 사용자가 압축을 풀고 문서를 열면 매크로가 실행되어 감염되기 때문에 사용자가 무의식적으로 해당 파일을 다운로드하고 압축해제 및 실행할 가능성이 높아 각별한 주의가 필요하다.

[그림 1] 이메일 유포 사례 (출처: Cybereason)

2-3. 실행 과정

실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.oni’라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 ‘!!!README!!!.html’ 라는 파일명의 랜섬노트를 생성한다. 해당 html파일을 실행하면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. (랜섬노트를 번역한 내용은 [표 1]과 같다.)

[그림 2] “Oni” 랜섬노트

	원문	번역
랜섬노트 내용	すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。 心配しないで、すべてのファイルを元に戻すことができます。 すべてのファイルを素早く安全に復元できることを保証します。 ファイルを回復する手順については、お問い合わせ。 信頼性を証明するために、2ファイルを無料で解読できます。 ファイルと個人IDを私たちにお送りください。 (ファイルサイズ10MB未満、機密情報なし)	모든 파일은 RSA-2048및 AES-256암호로 암호화되고 있습니다. 걱정하지 말고, 모든 파일을 되돌릴 수 있습니다. 모든 파일을 재빨리 안전하게 복원할 수 있음을 보증합니다. 파일을 회복하는 절차에 대해서는 문의. 신뢰성을 증명하기 위해서, 2파일을 무료로 되살릴 수 있습니다. 파일과 개인 ID를 우리에게 보내세요. (파일 사이즈 10MB미만, 기밀 정보 없음)

[표 1] 랜섬노트 내용

3. 악성 동작

3-1. 파일 암호화 및 프로세스 종료

해당 랜섬웨어는 존재하지 않는 확장자를 포함한 모든 확장자에 대해서 암호화 동작을 수행하고 원본 확장자 뒤에 ".oni"라는 확장자를 덧붙인다. 그리고 아래 [표2]와 같이 특정 폴더에 대해서는 암호화 동작을 수행하지 않는다. 

구분	내용
암호화 대상 제외 문자열	“Windows” “Microsoft” “Microsoft Help” “Windows App Certification Kit” “Windows Defender” “ESET” “COMODO” “Windows NT” “Windows Kits” “Windows Mail” “Windows Media Player” “Windows Multimedia Platform” “Windows Phone Kits” “Windows Phone Silverlight Kits” “Windows Photo Viewer” “Windows Portable Devices” “Windows Sidebar” “Windows PowerShell” “Temp” “NVIDIA Corporation” “Microsoft.NET” “Internet Explorer”	“Microsoft Shared” “Common Files” “McAfee” “Avira” “spytech software” “sysconfig” “Avast” “Dr.Web” “Symantec” “Symantec_Client_Security” “system volume information” “AVG” “Outlook Express” “Movie Maker” “Chrome” “Mozilla Firefox” “Opera” “YandexBrowser” “ntldr” “wsus” “Wsus”

[표 2] 암호화 제외 경로 문자열

[그림 3] 파일 암호화

또한 현재 사용자가 사용중인 파일들도 암호화 하기 위하여 메일, 데이터베이스와 관련된 특정 프로세스들을 검색한 뒤 종료 한다. 검색 및 종료 대상 프로세스는 다음과 같다.

구분	내용
대상 프로세스	"ssms", "sql", "outlook" , "postgre"

[표 3] 검색 및 종료 대상 프로세스

3-2. 볼륨 쉐도우 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.  

[그림 4] 볼륨 쉐도우 삭제

3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 사용자에게 이메일주소를 안내하고, 암호화된 파일을 복호화 하기 위한 방법으로개인 식별 키를 첨부하여 메일을 보내라는 내용을 담고있다. 하지만 이메일을 보내면 암호화를 풀어주는 조건으로 비트코인등 금전을 요구 할 것으로 보여진다.

4. 결론

과거 불특정 다수를 상대로 한 랜섬웨어 공격이 현재 기업을 대상으로 공격하는 시도가 늘어나고 있다. 이번 보고서로 알아본 Oni 랜섬웨어는 일본 기업 대상으로 유포되었기 때문에 국내 사용자들에게는 잘 알려지지 않았지만, 랜섬웨어 특성 상 특정 국가에 국한되지 않고 감염이 되면 모든 파일을 암호화하기 때문에 국내 사용자 역시 큰 피해로 이어질 수 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

상기 악성 코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus / Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능