분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]PainLocker Ransomware 감염 주의

TACHYON & ISARC 2018. 6. 26. 09:59

PainLocker Ransomware 감염 주의

 

1. 개요

최근 PainLocker Ransomware가 유포되어 피해가 발생하고 있다. 이 랜섬웨어는 아주 짧은 랜섬노트를 가지고 있지만, 사용자의 시스템을 암호화하고 금전을 요구한다는 점에서 랜섬웨어의 기본적인 역할을 수행하고 있다. 또한 데이터베이스 관련 프로세스를 종료한 후 암호화하기 때문에 이와 관련된 사용자는 특별히 주의가 필요하다.

 

이번 보고서에서는 PainLocker 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

31,232 bytes

진단명

Ransom/W32.PainLocker.64000

악성 동작

파일 암호화

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

PainLocker 랜섬웨어 실행 시, 먼저 윈도우 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다. 이후 모든 드라이브를 탐색하여 암호화 대상 폴더의 하위 파일을 암호화하고 파일 확장자를 “.[pain@cock.lu].pain”으로 바꾼다. 또한 암호화를 마친 폴더마다 “!=How_recovery_files=!.txt” 라는 이름의 랜섬노트를 생성하며 공격자와 연락할 수단을 안내한다.

 

 

 

3. 악성 동작

3-1. 시스템 복원 지점 삭제

PainLocker 랜섬웨어는 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 vssadmin.exe 파일을 이용하며, 아래와 같이 명령어를 실행하여 시스템 복원 지점을 삭제한다

 

[그림 1] 시스템 복원 지점 삭제[그림 1] 시스템 복원 지점 삭제

 

 

3-2. 데이터베이 관련 프로세스 종료

PainLocker 랜섬웨어는 현재 실행 중인 프로세스를 확인하여 데이터베이스와 관련된 일부 프로세스를 종료한다.

 

구분

내용

 

종료 대상

프로세스

 

sqlserv.exe, oracle.exe, ntdbsmgr.exe,
sqlservr.exe, sqlwriter.exe, MsDtsSrvr.exe, msmdsrv.exe,
ReportingServecesService.exe, fdhost.exe, fdlauncher.exe

[표 1] 종료 대상 프로세스

3-3. 파일 암호화

PainLocker 랜섬웨어는 USB와 같은 외장매체를 포함한 모든 드라이브를 탐색하고 암호화 대상으로 삼는다. 이후 암호화 제외 경로에 속하지 않은 모든 파일에 대해 암호화를 시도하고 암호화 성공 시 파일 확장자를 “.[pain@cock.lu].pain”으로 변경한다. 암호화 제외 경로의 경우 검색 시 대소문자를 구분하기 때문에 폴더의 이름이 동일하더라도 암호화될 수 있다.

 

구분

내용

 

암호회 제외

 경로

 

Windows, Program files, Program files (x86), System volume information,
$Recycle.bin

 [표 2] 암호화 제외 경로

 

 

 

[그림 2] 파일 암호화[그림 2] 파일 암호화

 

 

3-4. 암호화 후 자가 삭제

암호화 작업을 모두 마친 후, 원본 실행 파일을 삭제하여 흔적을 지운다.

 

 

[그림 3] 자가 삭제 명령어[그림 3] 자가 삭제 명령어

 

3-5. 결제 안내

암호화된 폴더 내부에 생성된 랜섬노트 “!=How_recovery_files=!.txt” 파일 실행 시, 공격자와 접촉할 수 있는 이메일 주소와 사용자에게 주어진 고유 ID를 알 수 있다.

 

[그림 4] 랜섬노트 “!=How_recovery_files=!.txt”의 내용[그림 4] 랜섬노트 “!=How_recovery_files=!.txt”의 내용

 

 

 

 

4. 결론

이번 보고서에서 알아본 "PainLocker Ransomware"는 눈길을 끄는 이미지나 장문의 랜섬노트를 가지지는 않는다. 하지만 다른 랜섬웨어와 마찬가지로 파일을 암호화하고 금전을 요구하여 사용자에게 피해를 끼칠 수 있기 때문에 반드시 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능