분석 정보/랜섬웨어 분석 정보

[악성코드 분석] Zenis 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 4. 11. 10:44

Zenis 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다.


이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

iis_agent32.exe

파일크기

147,968byte

악성동작

파일 암호화






2-2. 동작 방식

제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일치해야 하고 동시에 레지스트리 값 HKEY_CURRENT_USER\SOFTWARE\ZenisService\Active가 존재하지 않아야 한다. 이는 중복 실행이나 중복 암호화로 인한 문제를 방지하기 위한 것으로 보인다. 아래 그림은 해당 조건을 확인하는 코드이다.


[그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인 [그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인






3. 악성 동작


3-1. 시스템 복원 무력화 및 로그 삭제

위 조건에 충족하여 정상적으로 동작을 수행하게 되면 랜섬노트에 사용할 문구에 연락 이메일 주소를 삽입하여 내용을 완성시킨다. 이후 ‘cmd.exe’를 통해 아래 [표1]과 같은 명령어를 실행시키는데 이는 시스템 복원을 무력화하고 이벤트 로그를 삭제하는 기능을 수행한다.


[그림 2] 랜섬노트 문구를 완성시키는 코드[그림 2] 랜섬노트 문구를 완성시키는 코드


 

명령어

기능

 

vssadmin.exe delete shadows /all /Quiet

볼륨 쉐도우 복사본 삭제

 

WMIC.exe shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

Bcdedit.exe /set {default} recoveryenabled no

복구 모드 사용 안함

 

wevtutil.exe cl Application

응용 프로그램 이벤트 로그 삭제

 

wevtutil.exe cl Security

보안 이벤트 로그 삭제

 

wevtutil.exe cl System

시스템 이벤트 로그 삭제

[표 1] 명령어를 통한 시스템 복원 무력화 및 이벤트 로그 삭제





3-2. 프로세스 종료

현재 시스템상의 프로세스 이름을 대상으로 아래와 같은 지정된 문자열이 포함되거나 일치할 경우 프로세스를 강제로    종료시킨다.


 

구분

내용

대상 문자열

sql

taskmgr

regedit

backup

[2] 강제 종료 대상의 문자열 목록




3-3. 파일 암호화 및 삭제

이후 지정된 확장자 파일을 대상으로 암호화나 삭제를 진행하는데 파일의 크기가 1024byte 이상이면서 1024000000byte 이하인 파일을 대상으로 한다. 암호화된 파일의 이름은 ‘Zenis-[2byte의 임의의 값].[12byte의 임의의 값]’으로 변경되고 파일 삭제 시 3번의 덮어쓰기 과정을 거쳐 삭제하기 때문에 파일 복원을 어렵게 한다. 

 

구분

내용

암호화 대상 확장자

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa.apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

[표 3] 암호화 대상 확장자 목록




[그림 3] 암호화된 파일[그림 3] 암호화된 파일




 

구분

내용

삭제 대상 확장자

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

[표 4] 삭제 대상 확장자 목록




또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

Windows, Program Files, ProgramData, PerfLogs, $Recycle.Bin, Microsoft, Microsoft Help, Microsoft App, Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone, Silverlight Kits, Temp, Windows Photo Viewer, Windows Protable Devices, Windows Slidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, Public

[표 5] 화이트 리스트 폴더 문자열




암호화된 폴더에는 ‘Zenis-Instructions.html’라는 이름으로 아래와 같은 랜섬노트를 하나씩 생성한다.


[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용






4. 결론

이번 제니스 랜섬웨어는 파일 암호화뿐만 아니라 특정 확장자 파일을 삭제함으로써 파일 복구에 어려움을 주고 있다.    랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다.