분석 정보/랜섬웨어 분석 정보

Qwerty 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 4. 4. 11:05

Qwerty 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다.


이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

find.exe

파일크기

946,702byte

진단명

Ransom/W32.Qwerty.946702

악성동작

파일 암호화




2-2. 동작 방식

쿼티 랜섬웨어는 패키지로 구성되어있어 각각의 파일을 코드에 따라 실행하여 랜섬웨어 기능을 수행한다. 아래 그림에서와   같이 ‘key.bat’ 파일을 실행하면 ‘find.exe’ 파일까지 순차적으로 실행되며, 실행된 ‘find.exe’는 ‘gpg.exe’를 통해 파일을  암호화하여 저장하고 ‘shred.exe’를 통해 원본 파일을 삭제한다.


[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일



아래 그림에서 첫 번째 실행되는 ‘key.bat’ 파일의 내용을 살펴보면 암호화 프로그램인 ‘gpg.exe’ 파일을 사용하여 

‘qwerty-pub.key’ 파일과 ‘ownertrust.txt’ 파일의 데이터를 암호화에 사용할 키(key)로 등록하고 ‘run.js’ 파일을 실행한다. 이후 구성 파일 중 ‘qwerty-pub.key’, ‘ownertrust.txt’, ‘run.js’, ‘key.bat’ 파일을 삭제한다.


[그림 2] key.bat 파일 내용[그림 2] key.bat 파일 내용



실행된 ‘run.js’ 파일은 아래 그림과 같이 암호화 기능을 수행시키는 ‘find.exe’ 파일을 실행한다. 이때 인자를 a부터 z 드라이브를 나타내는 문자열로 설정함으로써 드라이브 전체를 암호화 대상으로 하고 있다.


[그림 3] ‘run.js’ 파일 내용[그림 3] ‘run.js’ 파일 내용







3. 악성 동작


3-1. 프로세스 종료

‘find.exe’ 파일이 실행되면 지정된 프로세스와 자식 프로세스를 강제로 종료시킨다. 지정된 프로세스 명은 아래와 같다.

 

구분

내용

대상 프로세스

sql

1c

chrome.exe

ie.exe

firefox.exe

opera.exe

safari.exe

taskmgr.exe

[1] 강제 종료 대상 프로세스 목록




3-2. 파일 암호화

이후 대상 파일에 대한 암호화를 진행하는데 정상 암호화 도구인 ‘gpg.exe’ 파일을 사용하여 암호화를 진행한다. 하나의 파일에 대한 암호화가 완료되면 확장자를 ‘.[임의의 값].qwerty’로 변경하여 저장하고 ‘shred.exe’ 파일을 실행시켜 원본 파일을 삭제한다. 이와 같은 방식을 반복하여 대상 파일을 암호화한다. 아래 그림은 테스트 파일이 암호화된 화면이다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



[그림 4]와 같이 일부 파일이 암호화되지 않은 것을 확인할 수 있는데 이는 암호화 대상의 폴더명과 파일명에 특정 문자열을 확인하여 해당 문자열이 포함되어 있으면 암호화를 수행하지 않게 설계되어있기 때문이다. 이와 같이 암호화 예외 대상을 구분하기 위한 문자열 목록은 아래와 같다. 

 

구분

내용

화이트 리스트 문자열

Temp

TEMP

windows

Windows

WINDOWS

Program Files

PROGRAM FILES

ProgramData

gnupg

Recycle

README_DECRYPT.txt

.qwerty

.exe

.dll

[2] 화이트 리스트 문자열 목록




암호화된 폴더에 ‘README_DECRYPT.txt’라는 이름으로 랜섬노트가 하나씩 생성되며, 아래와 그림과 같이 컴퓨터가 암호화 되었음을 안내하는 내용과 파일 복구를 위해 72시간 내에 메일을 보내라는 내용을 담고있다. 


[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용




3-3. 시스템 복원 기능 무력화

암호화 이후 시스템 복구를 통한 파일 복원을 방지하기 위해 아래 [표 3]과 같이 명령어를 실행한다.


명령어

기능

 

vssadmin.exe delete shadows /all /quiet

볼륨 쉐도우 복사본 삭제

 

wmic shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

bcdedit.exe bcdedit /set {default} recoveryenabled no

복구 모드 사용 안함

 

wbadmin.exe wbadmin delete catalog -quiet

백업 카탈로그 삭제

[3] 시스템 복원 기능을 무력화하기 위해 사용되는 명령어






4. 결론

이번 쿼티 랜섬웨어는 정상적인 프로그램과 함께 패키지로 구성되어있기 때문에 일반 사용자가 정상 파일로 오인하기 쉬워 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면