분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]공격자와 실시간 채팅 가능한 CryptOn Ransomware 유포 주의

TACHYON & ISARC 2018. 6. 12. 09:32

공격자와 실시간 채팅 가능한 CryptOn Ransomware 유포 주의

 

1. 개요

최근 CryptOn이라는 랜섬웨어가 국내를 대상으로 퍼져나가고 있다. 해당 랜섬웨어는 다른 랜섬웨어와 마찬가지로 감염자의 파일을 암호화하며 금전을 요구하지만, 공격자와 직접 실시간 채팅을 할 수 있다는 점에서 특별하다. 
이번 보고서에서는 CryptOn 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

299,520 byte

진단명

Ransom/W32.CryptOn.299520

악성동작

파일 암호화










 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

 

 

2-3. 실행 과정

CryptOn 랜섬웨어 실행 시, 암호화 제외 목록에 포함되지 않은 사용자의 파일을 암호화하고 파일 확장자를 “[임의의 문자열].ransomed@india.com“로 변경한다. 이후 바탕화면을 랜섬노트로 변경하며, 인터넷 브라우저를 실행시켜 공격자와 연락을 취해 파일을 복호화할 방법을 알려준다.

 

 

 [그림1] CryptOn 바탕화면 랜섬노트[그림1] CryptOn 바탕화면 랜섬노트

 

 

 

3. 악성 동작

3-1. 파일 암호화

CryptOn 랜섬웨어는 C&C 서버와 통신을 시도한 후 암호화를 시작하며, 암호화 제외 대상 목록의 문자열을 경로에 포함한 파일은 암호화하지 않는다. 이는 시스템 및 인터넷 브라우저와 관련된 파일을 암호화 대상에서 제외하여 공격자와의 원활한 통신을 유지하기 위한 것으로 정된다. 또한, 감염자의 소속 국가가 ‘러시아’, ‘카자흐스탄’, ‘벨라루스’, ‘우크라이나’ 중 하나일 경우에도 암호화하지 않고 종료된다.

 

 

구분

내용

암호화 제외 대상 목록

\windows\, \programdata\, nvidia, intel, .sys, .dll, .lnk, boot.ini, ntdetect.com, bootfont.bin, ntldr, bootmgr, bootnxt, bootsect.bak, ntuser.dat, pdoxusrs.net, internet explorer, mozilla firefox, opera, google

[1] 암호화 제외 대상 목록

 

 

[그림 2] 파일 암호화[그림 2] 파일 암호화

 

3-2. 자동 실행 등록 및 재부팅

해당 랜섬웨어는 레지스트리에 CryptOn 랜섬웨어 실행 파일을 등록하여 악성 행위 도중 시스템이 재부팅되어도 다시 실행되도록 한다. 모든 파일 암호화가 끝나면 해당 레지스트리 설정은 제거된다.

 

 

 

 

[그림 3] 자동 실행 등록[그림 3] 자동 실행 등록

 

 

 

3-3. 결제 안내

바탕화면의 ‘HOWTODECRYPTFILES.html’ 파일을 실행시, 공격자와 접촉할 수 있는 방법과 페이지 하단에 적힌 개인 ID를 알 수 있다. 채팅 링크를 따라 들어가면 개인 ID와 코드를 입력하여 공격자와 채팅을 시작할 수 있다.

 

 

 

 

[그림4] 랜섬노트 ‘HOW TO DECRYPT FILES.html’의 내용[그림4] 랜섬노트 ‘HOW TO DECRYPT FILES.html’의 내용

 

 

 

 

[그림5] 채팅 링크 접속 페이지[그림5] 채팅 링크 접속 페이지


4. 결론

이번 보고서에서 알아 본 "CryptOn Ransomware"는 다른 파괴적인 랜섬웨어처럼 시스템 복원 지점을 삭제하거나 MBR을 변조하여 시스템 부팅을 방해하진 않지만, 파일을 암호화하고 결제를 요구한다는 랜섬웨어의 기본적인 기능을 충실히 수행하고 있기 때문에 다른 랜섬웨어와 마찬가지로 주의가 필요하다. 

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 


 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능