[악성코드 분석] 게임 아이콘으로 위장한 한국어 랜섬웨어 감염 주의

게임 파일 아이콘으로 위장한 한국어 랜섬웨어 감염 주의

1. 개요 

이번에 발견 된 랜섬웨어는 '히든 티어(Hidden Tear)' 오픈 소스로 작성 된 랜섬웨어로 게임 파일로 위장하여 사용자들의 파일을 암호화하기 때문에 각별한 주의가 필요하다. 해당 랜섬웨어는 일전에 소개되어진 'Korean Locker' 랜섬웨어와 같이 유창한 한국어로 랜섬노트에 복호화 절차를 안내하고 있고, 금전을 요구하는 연락처 또한 'Korean Locker' 와 같기 때문에 같은 제작자에 의해 만들어진 것으로 보여진다.

이번 보고서에서는 게임 파일로 위장하면서 확장자를 '.암호화됨' 으로 변경하는 랜섬웨어에 대해서 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	Minecraft.exe
파일크기	2,762,752 byte
진단명	Ransom/W32.HiddenTears.2762752
악성동작	파일 암호화

2-2. 실행 과정

이번 랜섬웨어는 바탕화면 경로의 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화한 파일은 파일이름 뒤에     ‘.암호화됨’이라는 확장자를 덧붙이고 암호화가 완료되면 아래 [그림 2]와 같이 국내 메신저로 위장한 랜섬노트를 화면에   출력한다.

[그림 1] 게임 파일로 위장한 랜섬웨어

[그림 2] 국내 메신저로 위장한 랜섬노트

3. 악성 동작

3-1. 파일 암호화

사용자 PC의 바탕화면 경로를 탐색하여 대상이 되는 파일을 암호화한다. 암호화 대상이 되는 파일의 확장자는 아래 [표 1]과 같다.

구분	내용
암호화 대상 파일 확장자	".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd", ".URL", ".kys", ".bat",

[표 1] 암호화 대상 파일 확장자

암호화는 임의의 키 값과 AES(Advanced Encryption Standard) 알고리즘을 통해 진행하며, 암호화 절차는 아래와 같다.

 

[그림 3] 파일 암호화 코드

구분	내용
암호화 방식	① 15자리의 임의의 값 생성 ② 생성한 값을 Byte로 인코딩 ③ 인코딩한 Byte값을 SHA256를 통해 해쉬 계산 ④ 계산된 해쉬와 AES 알고리즘을 통해 암호화

[표 2] 암호화 방식

이번 랜섬웨어는 암호화 후 파일이름 뒤에 ‘.암호화됨’이라는 확장자를 덧붙인다. 아래 [그림4]는 암호화된 파일에 대한 화면이다. 

[그림 4] 암호화 된 파일

3-2. 작업관리자 비활성화 및 파일 생성

레지스트리 특정 경로(HKCU\Microsoft\Windows\CurrentVersion\Policies\System\)에 ‘DisableTaskMgr’ 값을 생성하여 작업관리자를 사용하지 못하게 한다.

[그림 5] 작업관리자 비활성화 레지스트리 값 ‘DisableTaskMgr’ 생성

[그림 6] 레지스트리 설정으로 인한 작업관리자 실행 불가

또한 “당신의 파일이 암호화되었습니다.”라는 문구를 포함한 ‘READ_IT.txt’ 파일을 바탕화면에 생성한다.

[그림 7] ‘READ_IT.txt’ 파일의 암호화 안내 문구

4. 결론

게임 파일과 국내 메신저로 위장한 이번 랜섬웨어는 일반 사용자가 무심코 실행하기 쉬워 각별한 주의가 필요하다.  랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.