분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘Cryp70n1c Army Ransomware’ 감염 주의

TACHYON & ISARC 2017. 12. 19. 13:59

‘PDF 파일로 위장한 Ransomware’ 감염 주의



1. 개요 


일반적으로 악성코드는 사용자에게 감염을 성공적으로 하기 위해서, 사용자가 호기심을 가질만한 내용으로 파일이름을 변경하거나 이미 보편적으로 사용되고 있는 소프트웨어로 위장하여 유포한다. 


랜섬웨어 또한 악성코드의 한 종류로써 위와 같은 방법을 사용하여 사용자의 파일을 인질로 삼아 금전을 요구한다. 일반적인 악성코드에 비하여 감염 시 정상적으로 PC에 있는 파일을 사용 할 수 없기 때문에 피해가 크다. 그렇기 때문에 보편적으로 사용되고 있는 소프트웨어라도 설치하거나 다운로드 시 주의를 요한다.


이번 보고서에서는 다른 랜섬웨어들에 비하여 완성도가 많이 떨어지긴 하지만 PDF 파일로 위장하여 파일을 암호화하는 랜섬웨어에 대하여 간략하게 알아보도록 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

임의의 파일명.exe

파일크기

220,160 byte

악성동작

파일 암호화, 금전 요구










2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 "C:\" 경로에 사용자 계정이름과 동일한 폴더를 생성하고 변경할 바탕화면 이미지파일과 자기 자신을 복사하여 실행한다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.cryp70n1c' 확장자를 덧붙인다. 


[그림 1] 감염 된 사용자 [그림 1] 감염 된 사용자







3. 악성 동작


3-1. PDF 파일 위장

해당 랜섬웨어 파일은 아래 [그림 2] 와 같이 PDF 아이콘으로 위장하고 있기 때문에 파일이름을 변경하여 유포 하였을 때 사용자들이 보다 쉽게 감염될 것으로 보여진다. 해당 파일이 실행되면 실행 된 경로에서는 삭제되지만, C:\ 경로에 자기 자신을 복사하여 실행되도록 한다. 


[그림 2] PDF 파일 위장[그림 2] PDF 파일 위장




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.cryp70n1c’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] AES-256 암호화[그림 3] AES-256 암호화



[그림 4] 파일 암호화[그림 4] 파일 암호화



구분

내용

암호화 대상 파일

확장자

".txt", ".jar", ".exe", ".dat", ".contact", ".settings", ".doc", ".docx", ".xls", ".xlsx", ".ppt",

".pptx", ".odt", ".jpg", ".png", ".csv", ".py", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx",".html", ".htm", ".xml", ".psd", ".pdf", ".dll", ".c", ".cs", ".mp3", ".mp4", ".f3d", ".dwg", ".cpp", ".zip", ".rar", ".mov", ".rtf", ".bmp", ".mkv", ".avi", ".apk", ".lnk", ".iso", ".7-zip", ".ace", ".arj", ".bz2", ".cab", ".gzip", ".lzh", ".tar", ".uue", ".xz", ".z", ".001", ".mpeg", ".mp3", ".mpg", ".core", ".crproj", ".pdb", ".ico", ".pas", ".db", ".torrent", ".sai", ".mdb", ".mdf", ".ldf", ".dbf", ".wdb", ".xlsx", ".123", ".pst", ".mbx", ".dbx", ".edb", ".qbb", ".pay", ".acu", ".drw", ".dwg", ".dwf", ".tct", ".tcw", ".psd", ".ai", ".mp4"


[1] 암호화 대상 파일 확장자




3-3. 랜섬 노트

암호화가 완료된 후 바탕 화면에는 "READ_IT.txt" 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다.

[그림 5] 복호화 안내 문구[그림 5] 복호화 안내 문구







4. 결론

이번 보고서에서 알아 본 ‘Cryp70n1c Army Ransomware’ 는 공개 된 오픈소스를 기반으로 만들었기 때문에 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지는 않았지만 사용자 PC에 있는 특정 확장자를 대상으로 중요 파일을 암호화 하기 때문에 결코 가볍게만 볼 수는 없다. 이슈가 되지 않은 랜섬웨어 이더라도 항상 주의를 기울여 피해가 발생하지 않도록 하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.