분석 정보/랜섬웨어 분석 정보

[악성코드 분석] Paradise 랜섬웨어 주의

TACHYON & ISARC 2018. 4. 16. 10:10

Paradise 랜섬웨어 주의


1. 개요 


다양한 악성코드 중에서도 랜섬웨어의 경우, 하나의 코드에서 파생되어 다양한 변종들이 생성됐을 만큼 많은 비중을 차지하고 있다.


과거에도 사용자의 파일을 사용하지 못하게 만드는 악성코드는 다수 존재했지만, 거래내역을 추적 당할 위험이 높아 쉽게 금전을 요구하지 못했을 것으로 추측된다. 


최근 몇 년 사이에 가상화폐나 Tor-브라우저 등의 거래 추적이 어렵다는 특징을 악용한 사이버 범죄가 기승을 부리고 있다. 이러한 문제가 해결되기 전까지 랜섬웨어와 같은 악성코드도 끊임없이 등장할 것이다.


이번 보고서에서는 사용자의 파일을 암호화 하는 'Paradise 랜섬웨어' 에 대해서 알아보자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DP_Main.exe

파일크기

36,864 byte

악성동작

파일 암호화






2-2. 유포 경로

'Paradise ransomware' 의 정확한 유포 경로는 밝혀지지 않았으나, 스팸메일의 첨부파일을 통해서 유포되었을 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시 자신의 복사본을 생성하여 자동시작되도록 등록한다. 

암호화를 하기 전에 커맨드 프롬프트를 이용하여 특정 인자 값을 통해서 볼륨 쉐도우 서비스를 사용하지 못하도록 한다.


이후 드라이브 하위에서 폴더들을 검색하여 공격자가 지정해 놓은 특정 폴더들에 대해서는 암호화를 진행하지 않으며, 그 외에 폴더를 발견할 경우 폴더 내의 파일들을 탐색하여 모든 파일을 암호화 한다.


암호화 완료 후 암호화한 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 특정 서버로 보내려는 코드가 존재한다.


위와 같은 모든 동작이 끝난 뒤, 해당 랜섬웨어는 암호화 동작을 할 때 생성했던 랜섬노트를 실행시켜 아래 [그림 1] 과 같이 암호화 사실을 알리고 복호화 방법에 대해 설명한다.


[그림 1] 랜섬노트







3. 악성 동작


3-1. 자동 시작 등록

악성 파일은 자기 자신을 복사하여 [그림 2] 와 같은 경로에 생성하고, 어떤 상황이 발생하더라도 재감염 시킬 수 있도록 자동시작 레지스트리값에 복사본을 등록하여 윈도우 재부팅 시에도 동작할 수 있도록 한다.


[그림 2] 복사본 생성[그림 2] 복사본 생성




[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록






3-2. 볼륨 쉐도우 삭제

암호화를 진행하기 전, 사용자가 복원 기능을 수행하지 못하게 하도록 Volume Shadow Copy Service (VSS) 를 삭제한다.


[그림 4] 복원 서비스 삭제[그림 4] 복원 서비스 삭제





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 탐색 중인 드라이브 하위에서 아래와 같이 공격자가 지정해 놓은 특정 폴더를 제외하고 모든 파일을 암호화한다.


[그림 5] 제외 폴더 목록[그림 5] 제외 폴더 목록




암호화를 끝마친 파일의 경우 아래와 같은 형태로 [원본파일명] + [ID] + [이메일주소].paradise 로 파일명을 변경하여 저장된다.


[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일






3-4. 정보 전송

모든 작업을 끝마친 랜섬웨어는 지정한 서버로 암호화 시킨 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 전송하는 코드가 존재하지만 지정해둔 특정 서버가 localhost 로 설정되어 있어 정보가 전송되지 않는다.

현재는 사용하지 않는 기능이거나 프로그램을 제작하는데 있어서 잘못 제작된 것으로 추정해볼 수 있다.


[그림 7] 정보 전송 코드[그림 7] 정보 전송 코드







4. 결론

이번 보고서에서 알아본 'Paradise Ransomware' 는 다른 랜섬웨어들에 비해서 많은 피해 사례가 발생하지는 않았지만 사용자의 PC 에 있는 파일들을 암호화 하기 때문에 가볍게 생각할 수 없다. 

대부분의 랜섬웨어의 경우, 복호화가 거의 불가능하기 때문에 크게 이슈가 되지 않은 랜섬웨어라도 사용자의 각별한 주의가 필요하다.

신뢰할 수 없는 사이트에서 다운받는 파일이나 메일의 첨부파일 등을 실행할 때 주의를 기울이고 사용하는 백신이나 OS 를 항상 최신버전으로 업데이트 하여 사용해야 한다.

nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화 하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






저작자표시 비영리 변경금지

'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글

갠드크랩(GandCrab) 랜섬웨어 버전업되어 유포, 감염 주의  (0) 2018.04.26
특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장  (0) 2018.04.18
[악성코드 분석] Zenis 랜섬웨어 감염 주의  (0) 2018.04.11
다시 돌아온 GandCrab Ransomware 감염 주의  (0) 2018.04.06
Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정  (0) 2018.04.06

'분석 정보/랜섬웨어 분석 정보'의 다른글

  • 현재글[악성코드 분석] Paradise 랜섬웨어 주의

관련글

댓글

티스토리툴바