분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Sigrun 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 5. 31. 10:29

Sigrun 랜섬웨어 감염 주의

 

1. 개요

GandCrab 랜섬웨어가 활발히 유포되어 많은 사용자들의 피해가 속출하고 있다. 랜섬웨어에 대한 각별한 주의가 요해지고 있는 최근, 해외에서 유포되기 시작하여 국내에도 피해사례가 발생되고 있는 Sigrun 랜섬웨어가 등장하였다. 추후 버전업의 여지가 있어 보이는 Sigrun 랜섬웨어를 이번 분석 보고서에서 알아보고자 한다.

 

 

 

2. 분석 정보

2-1. 파일 정보

 

구분

내용

파일명

[임의의 파일명].exe

파일크기

48,640 byte

진단명

Ransom/W32.Sigrun.48640

악성동작

파일 암호화



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았으나, 이메일 등을 통해 국내의 불특정 다수를 대상으로 유포 되고 있는 것으로 추정된다.


2-3. 실행 과정

실행 시, 해당 랜섬웨어는 사용자의 파일을 암호화하며, 암호화한 파일 이름 뒤에 “.Sigrun”라는 확장자를 덧붙인다. 또한, 암호화된 폴더 마다 “RESTORE-SIGRUN.html”, “RESTORE-SIGRUN.txt”라는 이름의 랜섬노트를 생성하며, 암호화 동작 후 랜섬노트를 실행하여 [그림 1]과 같은 화면을 사용자에게 보여준다.

 

 


[그림 1] “RESTORE-SIGRUN.html” 랜섬노트[그림 1] “RESTORE-SIGRUN.html” 랜섬노트



[그림 2] “RESTORE-SIGRUN.txt”” 랜섬노트[그림 2] “RESTORE-SIGRUN.txt”” 랜섬노트



 

3. 악성 동작

 

3-1. 특정 국가 감염 제외

해당 랜섬웨어는 키보드 언어를 체크하여 러시아어(Russian : 0419)를 사용하는 환경에서는 동작 하지 않고, cmd 를 통해 자신을 삭제하여 해당 국가에서 감염 되는 것을 방지한다.

 

 

 


[그림 3] Windows 기본 언어 확인[그림 3] Windows 기본 언어 확인



3-2. 파일 암호화

해당 랜섬웨어는 아래 암호화 대상 제외 목록 외의 모든 확장자에 대하여 암호화 동작을 수행한다. 원본 확장자 뒤에 ".Sigrun"이라는 확장자를 덧붙이며, 아래 [표 1]와 같이 특정 폴더 경로 및 파일, 확장자에 대해서는 암호화 동작을 수행하지 않는다.

 


 

 

구분

내용

암호화 제외 경로

\ProgramData\ ” , “ \IETldCache\ ”, “ \Boot\ ”, “ \Program Files\” , “ \Tor Browser\” ,“ \All Users\” , “ \Local Settings\ ” , “ \Windows\ “

암호화 제외 파일

desktop.ini , autorun.inf , ntuser.dat , iconcache.db , bootsect.bak , boot.ini , ntuser.dat.log , thumbs.db , RESTORE-SIGRUN.txt , ntldr , NTDETECT.COM , Bootfont.bin , RESTORE-SIGRUN.html , RESTORE-SIGRUN.txt

암호화 제외 확장자

.ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .sigrun_key .sigrun .admin

[1] 암호화 대상 제외 목록




[그림 4] 파일 암호화[그림 4] 파일 암호화




 


3-3. 시스템 복원 지점 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 wmic.exe 파일을 이용하며, 아래 Command Line에 명령어를 이용하여 시스템 복원을 하지 못하도록 삭제한다.

 

 

 

[그림 5] 시스템 복원지점 삭제[그림 5] 시스템 복원지점 삭제





3-4. 레지스트리에 공개키 저장

해당 랜섬웨어는 “HKCU\SOFTWARE\Valkyrie\data” 키를 생성하여 하위 값에 해당 랜섬웨어의 공개키를 저장하고있다.

 

 

 


[그림 6] 레지스트리에 공개키 저장[그림 6] 레지스트리에 공개키 저장

 

 

3-5. 암호화 완료 후 자가 삭제

해당 랜섬웨어는 암호화가 완료되면 Cmd.exe 파일을 이용하여 자가 삭제 한다.


 

[그림 7] 암호화 완료 후 자가 삭제[그림 7] 암호화 완료 후 자가 삭제




 

4. 결론

이번 보고서에서 알아 본 “Sigrun Ransomware” 의 경우, 랜섬노트 내용 중 “Sigrun Ransomware 1.0” 이라고 기입 되어있어, 최근 유포되던 “GandCrab Ransomware” 처럼 추후 버전업 되어 유포될 여지가 있어 주의를 요한다. 해당 랜섬웨어는 아직까지 다른 랜섬웨어에 비하여 피해 사례가 발생하지 않았지만 감염 될 경우 사용자의 파일들이 암호화되어 큰 손실로 이어질 수 있는 만큼 PC 를 사용함에 있어 주의를 기울여야 한다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성 코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면




[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능