[악성코드 분석] 'Triple M' 랜섬웨어 유포 주의

Triple M 랜섬웨어 유포 주의 

1. 개요 

최근, 가상화폐의 가치에 대한 사회적 관심이 높아지고 있는 가운데, 작년에 이어 올해도 다양한 형태의 랜섬웨어가 발견되고 있다. 사용자 PC에 있는 주요 파일을 암호화하고 금전을 요구하는 랜섬웨어는 거래 추적을 어렵게 하기 위해 가상 화폐를 이용하는데, 가상 화폐 가치가 늘어난 만큼 랜섬웨어 또한 기승을 부릴 것으로 보여진다.

이번 분석 보고서에서는 “Triple M” 랜섬웨어에 대하여 간략하게 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	mmm.exe
파일크기	32,256 bytes
악성 동작	파일 암호화, 금전 요구

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 메일에 파일을 첨부하여 유포되거나, P2P를 이용한 공유 등으로 유포 되는 것으로 추정된다.

2-3. 실행 과정

해당 랜섬웨어 실행 시, 대상이 되는 확장자에 대하여 암호화하고 암호화한 파일 이름 뒤에 “.triple_m”라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 “RESTORE_triple_m__FILES.html” 라는 이름의 랜섬노트를 생성하며, 해당 “html”파일을 실행시키면 아래와 같은 화면을 사용자에게 보여준다.

[그림1] “Triple M” 랜섬노트

3. 악성 동작

3-1. 파일 암호화 및 확장자 변경

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ".triple_m"라는 확장자를 덧붙인다. 그리고 각 암호화된 파일마다 암호화 키 정보를 저장하는 ".info" 파일을 추가 생성하는 특징이 있다. 

구분

내용

암호화 대상 파일 확장자

".doc",".adi",".adt",".docx",".altr",".xls",".xlsx",".ppt",".pptx",".odt",".jpg",".png",".csv",".sql","sln",".php", ".asp",".aspx",".html",".xml",".psd",".bat",".js",".css",".sqlite",".dwg",".jpeg",".dis",".adx",".fp7",".sif",".ldf", ".ndf",".mdf",".trn",".err",".pdf",".myi",".myd",".zip",".bak",".bkf",".prn",".data",".ctf",".mkd",".ziz",".pxf", ".dst",".eps",".tlf",".ltf",".cdr",".pmd",".ai",".txt",".qbw",".qbb",".tlg",".ecw",".pdf",".frm",".pix",".accdb", ".mdb",".cdr",".eps",".tif",".msg",".asmx",".rpt",".arw",".qbo",".qbw",".sldprt",".dwf"

[표 1] 암호화 대상 파일 확장자

[그림 2] 파일 암호화

3-2. 볼륨 쉐도우 복사본 삭제 및 복구 모드 사용 안함

또한 TripleM랜섬웨어는 "C:\Users\%UserName%\AppData\Roaming\” 하위에 [표2]와 같이 3가지의 배치파일을 생성하고 실행한다. 해당 배치 파일은 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 “vssadmin.exe”를 이용하여 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다. 또한 부팅 구성 데이터 편집기 인 “bcedit.exe”에 옵션을 이용하여 사용자가 복구 모드를 사용하지 않도록 설정한다.

구분	내용
배치 파일 내용	Temp_1.bat	vssadmin delete shadows /all /quiet	볼륨 쉐도우 복사본 삭제
	reco.bat	bcedit.exe /set {default} recovery enabled no	복구 모드 사용 안함
	bcedit.bat	bcedit.exe /set {default} bootstatuspolicy ignoreallfailures	모든 부팅 실패 무시

[표 2] 배치 파일 생성 및 실행

3-3. USB 등 기타 드라이브 암호화

해당 랜섬웨어는 기본 “C:”드라이브는 물론, 기타 드라이브까지 검색하여 사용자의 중요한 파일들을 암호화한다.

[그림 3] 이동식 드라이브 암호화

3-4. 암호화 후 자가 삭제

실행된 TripleM 랜섬웨어는 파일 암호화 후, “selfdelete.bat” 파일을 생성한다. 생성한 “selfdelete.bat” 배치파일을 이용하여 원본 숙주파일을 삭제 한다.

구분	내용
배치 파일 내용	selfdelete.bat	:Repeat del "mmm.exe" if exist "mmm.exe" goto Repeat del selfdelete.bat	자가 삭제

[표 3] 배치파일 내용

3-5. 결제 안내

암호화가 진행된 후 대상 폴더에는 랜섬노트 파일이 생성된다. 해당 파일을 열면 암호화된 파일에 대하여 제한 시간 내에 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다.

[그림 4] 복호화 안내 문구

4. 결론

이번 보고서에서 알아 본 "TripleM Ransomware" 같은 경우 랜섬노트 내용 중 “TripleM Ransomware V1”이라고 기입되어 있어 추후 버전 업이 될 여지가 보여진다. 아직까지 해당 랜섬웨어는 다른랜섬웨어 비하여 피해 사례가 발생하지 않았지만 감염 될 경우 주요 문서들이 암호화 되어 큰 손실로 이어질 수 있는 만큼 PC를 사용함에 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.