분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]한국어로 쓰여진 RansomAES Ransomware 주의

TACHYON & ISARC 2018. 6. 5. 09:32

한국어로 쓰여진 RansomAES Ransomware 주의

 

1. 개요

최근, 유창한 한국어로 작성 된 랜섬웨어가 또 다시 발견되었다. 해당 랜섬웨어는 일반적인 랜섬웨어들과 같이 대상이 되는 파일들을 암호화하고 금전을 요구하고 있다는 점에서는 같지만, 금전을 요구하는 이메일 주소가 국내에서 자주 사용되는 도메인으로 구성되어 있다는 점에서 국내 사용자들의 주의가 필요할 것으로 보여진다.


이번 보고서에서는 한국어로 쓰여진 'RansomAES Ransomware' 에 대해서 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

 

구분

내용

파일명

[임의의 파일명].exe

파일크기

19,456 byte

진단명

Ransom/W32.RansomAES.19456

악성동작

파일 암호화










 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포경로는 밝혀지지 않았다.

 

2-3. 실행 과정

해당 랜섬웨어 원본 파일이 실행되면 사용자 PC의 특정 경로를 대상으로 암호화 동작을 수행하고, 암호화가 완료되면 ‘.RansomAES’ 확장자를 덧붙인다. 그리고 아래와 같이 한국어로 작성된 랜섬노트를 실행하여 파일이 암호화 되었음을 알리고 공격자의 이메일을 통해 파일 복호화에 대한 지침을 받도록 유도 한다.

 

 

 

 

[그림 1] 랜섬노트[그림 1] 랜섬노트

 

 

 

3. 악성 동작


3-1. 파일 암호화

'RansomAES Ransomware' 랜섬웨어는 암호화를 진행하는데 아래와 같이 공격자가 지정해둔 경로를 우선으로 한다.

 

[그림 2] 암호화 대상 경로 1[그림 2] 암호화 대상 경로 1


[그림 3] 암호화 대상 경로 2[그림 3] 암호화 대상 경로 2

 

 

앞에서 설명한 경로에서 다음과 같이 아래 [표 1]에 해당하는 확장자의 파일들만 암호화를 진행한다.

 

구분

내용

암호화 대상

확장자

.txt   .doc   .docx   .xls   .xlsx   .ppt   .pptx   .odt

.jpg   .png   .csv    .sql   .mdb  .sln    .php   .asp

.aspx  .html  .xml    .psd   .rar   .zip   .mp3   .exe

.PDF   .rtf    .DT    .CF    .CFU  .mxl   .epf    .erf

.vrp    .grs   .geo   .elf    .lgf    .lgp   .log    .st

.pff    .mft   .efd   .ini    .CFL    .cer   .backup

.7zip   .tiff   .jpeg  .accdb   .sqlite    .dbf    .1cd

.mdb   .cd   .cdr   .dwg    .bmp   .hwp    .cmd

.dll     .gif   .3gp   .7z    .php   .flv    .vb    .cpp

.html   .cs   .config  .csproj   .settings   .xml   .p

.js     .vbs

[1] 암호화 대상 확장자

 

그리고 파일 암호화가 성공적으로 완료되면, 원본 파일 확장자에 '.RansomAES' 확장자를 덧붙인다.

 

[그림 4] 암호화 된 파일[그림 4] 암호화 된 파일

 

 

3-2. 복원 지점 삭제

해당 랜섬웨어에 감염 된 사용자가 PC 를 감염 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본을 삭제한다.

 

 

[그림 5] 볼륨 쉐도우 삭제[그림 5] 볼륨 쉐도우 삭제

 

4. 결론

이번에 알아본 'RansomAES Ransomware' 는 다른 랜섬웨어만큼의 영향력은 없지만 한국어로 랜섬노트를 작성하였다는 점에서 국내사용자들을 노리는 것으로 보여진다.

감염에 의한 피해를 미리 예방하기 위해서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 하며, 중요한 자료를 여러곳에

 

미리 백업해 두는 습관을 들이는 것이 좋다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

 

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면