분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]RedEye 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 6. 19. 09:33

RedEye 랜섬웨어 감염 주의

 

1. 개요

음산한 소리와 함께 공포감을 조성하며 실행되는 ‘RedEye’ 랜섬웨어는 감염된 시스템의 복구나 대응을 저지하기 위해 여러가지 기능을 수행한다. 대표적으로 시스템 복원 무력화, 작업관리자 및 레지스트리 편집기 비활성화, 드라이브 숨김 기능이 있으며, 감염된 파일의 경우 확장자를 ‘.RedEye’로 변경한다. 랜섬노트에는 복호화를 빌미로 가상화폐를 요구하는 내용이 담겨 있고 4일 이내 지급하지 않을 시 MBR을 변조하여 시스템을 파괴한다.

 

 

2. 분석 정보

2-1. 파일 정보 

구분

내용

파일명

RedEye.exe

파일크기

36,713,984 bytes

진단명

Ransom/W32.FileCryptor.36713984

악성 동작

데이터 파괴

 

 

 

 

 


2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

RedEye 랜섬웨어 실행 시 사용자 파일을 감염시키고 감염이 끝나면 PC를 재부팅 하여 아래 [그림 1]과 같이 랜섬노트를 출력한다. 랜섬노트는 한국어를 포함하여 13개의 언어로 제공되며, 4일 이내에 0.1 비트코인을 지급할 것을 요구하고 있다.

 

[그림 1] RedEye 랜섬노트[그림 1] RedEye 랜섬노트

 

 

[그림 2] 변경된 배경화면[그림 2] 변경된 배경화면

 


3. 악성 동작

3-1. 파일 감염

해당 랜섬웨어는 확장자 구분 없이 사용자 파일에 감염을 시도한다. 랜섬노트에서 AES-256으로 암호화했다는 내용과 달리 감염된 파일은 아무런 내용이 없는 0KB 용량으로 손상되어 확장자 ‘.RedEye’를 덧붙여 저장된다.

 

[그림 3] 파일 암호화[그림 3] 파일 암호화

 

 

3-2. 볼륨 쉐도우 복사본 삭제 및 윈도우 방화벽 해제

시스템 복원을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구 vssadmin.exe를 사용하여 아래 Command Line의 명령어를 통해 기존 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.

[그림 4] 볼륨 쉐도우 복사본 삭제[그림 4] 볼륨 쉐도우 복사본 삭제

 

또한, netsh.exe를 사용하여 아래와 같은 명령어로 윈도우 방화벽을 해제한다.

 

[그림 5] 윈도우 방화벽 해제[그림 5] 윈도우 방화벽 해제

 

 

3-3. 주요 기능 비활성화 및 드라이브 숨김

RedEye 랜섬웨어는 아래와 같이 특정 레지스트리 경로에 ‘Disable*’을 생성하여 작업관리자나 레지스트리 편집기와 같은 주요 기능을 비활성화한다.

구분

내용

생성된 레지스트리

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Policies\Microsoft\Windows\DisableCMD

HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD

HKCU\Software\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\System\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\DisableCMD

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring

[1] 주요 기능 비활성화를 위해 생성한 레지스트리 목록

 

 

또한, 드라이브를 숨겨 내부 탐색을 방해한다.


[그림 6] 숨겨진 C 드라이브[그림 6] 숨겨진 C 드라이브

 

 

 

3-4. 자동 실행 등록

재부팅 시 자동 실행을 위해 레지스트리에 “Windows Update”라는 이름으로 자신을 등록한다.


 

 

[그림 7] 자동 실행 등록[그림 7] 자동 실행 등록

 

 

3-5. MBR 변조

RedEye 랜섬웨어는 랜섬노트 오른쪽 상단의 ‘Destroy PC’ 기능을 사용하거나 표시된 제한 시간이 모두 지나게 되면 MBR을 변조하고 강제로 재부팅 시켜 사용자의 정상적인 부팅을 막는다.

 

[그림 8] 변조된 MBR[그림 8] 변조된 MBR

 

 

4. 결론

이번 RedEye 랜섬웨어는 파일을 암호화하는 일반적인 랜섬웨어와 달리 파일 자체를 아무런 내용이 없는 0KB 용량의 파일로 만든다. 갈수록 다양해지고 진화하는 랜섬웨어에 감염되지 않도록 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소화하기 위해서는 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 별도로 보관해야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면