분석 정보/랜섬웨어 분석 정보

특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장

TACHYON & ISARC 2018. 4. 18. 09:30

특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면