분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘Spider Ransomware’ 감염 주의

TACHYON & ISARC 2017. 12. 19. 15:23

‘Spider Ransomware’ 감염 주의



1. 개요 


지난 보고서에서 알아보았던 ‘Oni’ 랜섬웨어는 일본을 대상으로 활동했던 랜섬웨어다. 국내뿐만 아니라, 세계적으로 2017년 악성코드 비율에서 높은 부분을 차지했던 악성코드는 랜섬웨어를 꼽을 수 있다. 이번 보고서에서는 발칸 반도의 특정 국가들을 대상으로 삼아 새로이 등장한 ‘Spider’ 랜섬웨어에 대해서 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

enc.exe

파일크기

29,184 byte

진단명

Ransom/W32.FileSpider.29184

악성동작

파일 암호화











구분

내용

파일명

dec.exe

파일크기

222,208 byte

진단명

Ransom/W32.FileSpider.222208

악성동작

프로세스 모니터링 및 종료 / 랜섬노트 출력











2-2. 유포 경로

해당 악성코드는 스팸 메일 속에 악성 문서파일이 첨부되어 전파된다. 첨부된 악성 문서파일은 매크로를 통해 2개의 파일을 다운로드하고 실행한다. Spider 랜섬웨어는 이처럼 스팸메일과 매크로를 통해 유포된다. 





2-3. 실행 과정

해당 악성코드는 매크로를 통해 %AppData%\Roaming\Spider 경로에 enc.exe 와 dec.exe 두 파일을 다운로드하여 실행한다. enc.exe 파일은 파일 암호화를 진행하며, dec.exe 파일은 실행중인 프로세스를 지속적으로 모니터링 하여 cmd.exe, procexp.exe 등의 프로세스들을 실행하지 못하도록 종료시킨다. 이후에 암호화가 완료되면, dec.exe 파일이 enc.exe 파일을 삭제하고 아래와 같은 랜섬노트를 실행하여 사용자에게 암호화 여부를 알린다. 랜섬노트는 발칸 반도의 특정 국가에서 사용하는 크로아티아어와 영어 2가지 언어를 지원한다.


[그림1] 랜섬노트[그림1] 랜섬노트



사용자는 랜섬노트를 보고 암호화에 대해 인식하게 되고, 해당 GUI 창을 통해서 복호화와 관련된 상세한 내용과 금전을 지불하고 받는 복호화 키를 입력 할 수 있는 창 등을 볼 수 있다.


[그림2] 복호화 안내창과 복호화 키 입력창[그림2] 복호화 안내창과 복호화 키 입력창







3. 악성 동작


3-1. 파일 암호화

악성코드는 암호화 기능을 가지고 있는 enc.exe 파일 실행 시 아래 경로를 화이트 리스트로 두고 파일 암호화 과정에서 제외한다.


[그림 3] 암호화 제외 대상 경로[그림 3] 암호화 제외 대상 경로



위에서 본 화이트 리스트 경로를 제외한 나머지 경로에서 아래와 같은 확장자를 대상으로 파일 암호화를 진행한다.


구분

내용

암호화 대상 파일 확장자

lnk url contact 1cd dbf dt cf cfu mxl epf kdbx erf vrp grs geo st conf pff mft efd 3dm 3ds rib ma sldasm sldprt max blend lwo lws m3d mb obj x x3d movie byu c4d fbx dgn dwg 4db 4dl 4mp abs accdb accdc accde accdr accdt accdw accft adn a3d adp aft ahd alf ask awdb azz bdb bib bnd bok btr bak backup cdb ckp clkw cma crd daconnections dacpac dad dadiagrams daf daschema db db-shm db-wal db2 db3 dbc dbk dbs dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd eql fcd fdb fic fid fil fm5 fmp fmp12 fmpsl fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdb mdbhtml mdf mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce odb oqy ora orx owc owg oyx p96 p97 pan pdb pdm phm pnz pth pwa qpx qry qvd rctd rdb rpd rsd sbf sdb sdf spq sqb stp sql sqlite sqlite3 sqlitedb str tcx tdt te teacher tmd trm udb usr v12 vdb vpd wdb wmdb xdb xld xlgc zdb zdc cdr cdr3 ppt pptx 1st abw act aim ans apt asc ascii ase aty awp awt aww bad bbs bdp bdr bean bna boc btd bzabw chart chord cnm crwl cyi dca dgs diz dne doc docm docx docxml docz dot dotm dotx dsv dvi dx eio eit email emlx epp err etf etx euc fadein faq fb2 fbl fcf fdf fdr fds fdt fdx fdxt fes fft flr fodt fountain gtp frt fwdn fxc gdoc gio gpn gsd gthr gv hbk hht hs htc hwp hz idx iil ipf jarvis jis joe jp1 jrtf kes klg knt kon kwd latex lbt lis lit lnt lp2 lrc lst ltr ltx lue luf lwp lxfml lyt lyx man map mbox md5txt me mell min mnt msg mwp nfo njx notes now nwctxt nzb ocr odm odo odt ofl oft openbsd ort ott p7s pages pfs pfx pjt plantuml prt psw pu pvj pvm pwi pwr qdl rad readme rft ris rng rpt rst rt rtd rtf rtx run rzk rzn saf safetext sam scc scm scriv scrivx sct scw sdm sdoc sdw sgm sig skcard sla slagz sls smf sms ssa strings stw sty sub sxg sxw tab tdf tex text thp tlb tm tmv tmx tpc trelby tvj txt u3d u3i unauth unx uof uot upd utf8 unity utxt vct vnt vw wbk wcf webdoc wgz wn wp wp4 wp5 wp6 wp7 wpa wpd wpl wps wpt wpw wri wsc wsd wsh wtx xbdoc xbplate xdl xlf xps xwp xy3 xyp xyw ybk yml zabw zw 2bp 036 3fr 0411 73i 8xi 9png abm afx agif agp aic albm apd apm apng aps apx art artwork arw asw avatar bay blkrt bm2 bmp bmx bmz brk brn brt bss bti c4 cal cals can cd5 cdc cdg cimg cin cit colz cpc cpd cpg cps cpx cr2 ct dc2 dcr dds dgt dib dicom djv djvu dm3 dmi vue dpx wire drz dt2 dtw dvl ecw eip exr fal fax fpos fpx g3 gcdp gfb gfie ggr gif gih gim gmbck gmspr spr scad gpd gro grob hdp hdr hpi i3d icn icon icpr iiq info int ipx itc2 iwi j j2c j2k jas jb2 jbig jbig2 jbmp jbr jfif jia jng jp2 jpe jpeg jpg jpg2 jps jpx jtf jwl jxr kdc kdi kdk kic kpg lbm ljp mac mbm mef mnr mos mpf mpo mrxs myl ncr nct nlm nrw oc3 oc4 oc5 oci omf oplc af2 af3 ai asy cdmm cdmt cdmtz cdmz cdt cgm cmx cnv csy cv5 cvg cvi cvs cvx cwt cxf dcs ded design dhs dpp drw dxb dxf egc emf ep eps epsf fh10 fh11 fh3 fh4 fh5 fh6 fh7 fh8 fif fig fmv ft10 ft11 ft7 ft8 ft9 ftn fxg gdraw gem glox hpg hpgl hpl idea igt igx imd vbox vdi ink lmk mgcb mgmf mgmt mt9 mgmx mgtx mmat mat otg ovp ovr pcs pfd pfv pl plt pm vrml pmg pobj ps psid rdl scv sk1 sk2 slddrt snagitstamps snagstyles ssk stn svf svg svgz sxd tlc tne ufr vbr vec vml vsd vsdm vsdx vstm stm vstx wmf wpg vsm vault xar xmind xmmap yal orf ota oti ozb ozj ozt pal pano pap pbm pc1 pc2 pc3 pcd pcx pdd pdn pe4 pef pfi pgf pgm pi1 pi2 pi3 pic pict pix pjpeg pjpg png pni pnm pntg pop pp4 pp5 ppm prw psd psdx pse psp pspbrush ptg ptx pvr px pxr pz3 pza pzp pzs z3d qmg ras rcu rgb rgf ric riff rix rle rli rpf rri rs rsb rsr rw2 rwl s2mv sai sci sep sfc sfera sfw skm sld sob spa spe sph spj spp sr2 srw ste sumo sva save ssfn t2b tb0 tbn tfc tg4 thm thumb tif tiff tjp tm2 tn tpi ufo uga usertile-ms vda vff vpe vst wb1 wbc wbd wbm wbmp wbz wdp webp wpb wpe wvl x3f y ysp zif cdr4 cdr6 cdrw pdf pbd pbl ddoc css pptm raw cpt tga xpm ani flc fb3 fli mng smil mobi swf html xls xlsx csv xlsm ods xhtm 7z m2 rb rar wmo mcmeta m4a itm vfs0 indd sb mpqge fos p7c wmv mcgame db0 p7b vdf DayZProfile p12 d3dbsp ztmp rofl sc2save sis hkx pem dbfv sie sid bar crt sum ncf upk cer wb2 ibank menu das der t13 layout t12 dmp litemod dxg qdf blob asset xf esm forge tax 001 r3d pst pkpass vtf bsa bc6 dazip apk bc7 fpk re4 bkp mlx sav raf qic kf lbf bkf iwd slm xlk sidn vpk bik mrwref xlsb sidd tor epk mddata psk rgss3a itl rim pak w3x big icxs fsh unity3d hvpl ntl wotreplay crw hplg arch00 xxx hkdb lvl desc mdbackup snx py srf odc syncdb cfr m3u gho ff odp cas vpp_pc js dng lrf c cpp cs h bat ps1 php asp java jar class aaf aep aepx plb prel prproj aet ppj indl indt indb inx idml pmd xqx fla as3 as docb xlt xlm xltx xltm xla xlam xll xlw pot pps potx potm ppam ppsx ppsm sldx sldm aif iff m4u mid mpa ra 3gp 3g2 asf asx vob m3u8 mkv dat efx vcf xml ses zip 7zip mp4 3gp webm wmv


[1] 암호화 대상 확장자 목록



암호화를 하기 전에 enc.exe 파일과 같은 경로에 files.txt 파일을 생성하여 암호화한 파일들의 목록을 저장한다.


[그림 4] 암호화 된 파일[그림 4] 암호화 된 파일



랜섬웨어는 암호화를 마친 이후에 원본 파일명 뒤에 .spider 확장자를 붙여 이름을 변경한다.


[그림 5] 암호화 된 파일[그림 5] 암호화 된 파일





3-2. 특정 프로세스 종료

enc.exe와 함께 실행되는 dec.exe파일은 실행 시 아래와 같은 목록의 프로세스들을 모니터링하며 실행되지 못하도록 지속적으로 종료시킨다.


[그림 6] 모니터링 프로세스 목록[그림 6] 모니터링 프로세스 목록








4. 결론


이번 보고서에서 알아본 ‘Spider’ 랜섬웨어는 현재는 발칸 반도의 몇몇 국가를 대상으로 퍼지며 이번 달 초에 발견되어 아직 국내에는 많이 알려져 있지 않지만 악성코드 감염이 언제 어느때 어떤 방식으로 유포될지 알 수 없기 때문에 파일을 암호화하여 사용할 수 없게 만드는 랜섬웨어는 국내 사용자들도 충분히 주의 해야한다.


사용자들은 이메일의 첨부파일을 실행하는데 있어서 충분한 주의를 기울이고 중요한 자료는 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능