분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Crybrazil Ransomware 감염 주의

TACHYON & ISARC 2018. 7. 18. 10:48

Crybrazil Ransomware 감염 주의

 

1. 개요

본 보고서에서 다루게 될 'Crybrazil Ransomware' 는 파일 암호화 동작을 수행한다.

 

정확한 유포경로는 밝혀지지 않았으며, 해외의 한 보안연구원에 의해 발견됐다. 해당 랜섬웨어는 'Ransomware' 오픈 소스인 'HiddenTear' 를 기반으로 작성되었으며, 감염된 PC 의 바탕화면을 즐겁게 웃는 광대 이미지로 변경하여 사용자에게 감염된 사실을 통보한다.

 

이번 보고서에서는 오픈소스 기반의 'Crybrazil Ransomware' 에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

 파일명

 [임의의 파일명].exe

 파일크기

 222,720 byte

 진단명

 Ransom/W32.HiddenTear.222720

 악성동작

 파일 암호화

 

2-2. 유포 경로

해당 랜섬웨어의 정확한 유포경로는 밝혀지지 않았으나 일반적인 랜섬웨어와 마찬가지로 스팸메일 등을 통해 유포되었을 것으로 추정된다.

 

2-3. 실행 과정

‘임의의 파일명’ 으로 위장 된 랜섬웨어 파일을 실행하면 특정 경로에 지정된 확장자를 확인하여 암호화를 수행하고, 피해자를 구분할 목적으로 사용자 PC의 일부 정보를 공격자에게 전송한다. 또한 사용자의 바탕화면을 변경하기 위해 랜섬노트 이미지를 다운로드 하여 피해자에게 암호화 된 사실을 통보한다.

 

[그림 1] 변경 된 바탕화면[그림 1] 변경 된 바탕화면

 

 

3. 악성 동작

3-1. 사용자 PC 정보 전송 및 랜섬노트 이미지 다운로드

해당 랜섬웨어는 감염 된 사용자를 구분하기 위한 용도로 사용자 PC 정보를 수집하여 전송한다.

 

[그림 2] 사용자 PC 정보 전송[그림 2] 사용자 PC 정보 전송

 

 

 

또한, 원격지와 연결이 원활할 경우 이미지 파일을 추가로 다운로드 한다. 다운로드 된 이미지 파일은 사용자의 바탕화면을 변경할 용도로 활용된다.

 

[그림 3] 특정 경로에 다운받은 랜섬노트 이미지[그림 3] 특정 경로에 다운받은 랜섬노트 이미지

 

 

 

바탕화면을 변경하기 위해 아래와 같이 레지스트리 값을 수정한다.

 

[그림 4] 레지스트리 값 이용하여 바탕화면 변경[그림 4] 레지스트리 값 이용하여 바탕화면 변경

 

 

 

 

3-2. 파일 암호화

'Crybrazil Ransomware’ 는 파일 암호화 시 아래 [그림 5]에 해당되는 특정 폴더를 대상으로 암호화를 진행한다.

 

[그림 5] 암호화 대상 경로[그림 5] 암호화 대상 경로

 

 

 

아래는 암호화 대상 파일의 확장자 목록이다.

 

구분 

 내용

암호화 대상

확장자

.dat   .keychain   .sdf   .vcf   .jpg   .png   .tiff   .tif   .gif   .jpeg   .jif   .jfif   .jp2

.jpx   .j2k   .j2c   .fpx   .pcd   .bmp   .svg   .3dm   .3ds   .max   .obj   .dds
.psd   .tga   .thm   .yuv   .ai   .eps   .ps   .indd  .pct   .mp4   .avi   .mkv   .3g2

.3gp   .asf   .flv   .m4v   .mov   .mpg   .rm   .srt   .swf   .vob   .wmv   .doc
.docx   .txt   .pdf   .log   .msg   .odt   .pages   .rtf   .tex   .wpd   .wps   .csv

.ged   .key   .pps   .ppt   .pptx   .xml   .json   .xlsx   .xlsm   .xlsb   .xls   .mht
.mhtml   .htm   .html   .xltx   .prn   .dif   .slk   .xlam   .xla   .ods   .docm

.dotx   .dotm   .xps   .ics   .mp3   .aif   .iff   .m3u   .m4a   .mid   .mpa   .wav

.wma   .msi   .php   .apk   .app   .bat   .cgi   .com   .asp   .aspx   .cer   .cfm

.css   .js   .jsp   .rss   .xhtml   .c   .class   .cpp   .cs   .h   .java   .lua   .pl   .py   .sh
.sln   .swift   .vb   .vcxproj   .dem   .gam   .nes   .rom   .sav   .tgz   .zip   .rar   .tar

.7z   .cbr   .deb   .gz   .pkg   .rpm   .zipx   .iso   .accdb   .db   .dbf   .mdb   .sql

.fnt   .fon   .otf   .ttf   .cfg   .prf   .bak   .old   .tmp   .torrent   .der   .pfx   .crt

.csr   .p12   .pem   .ott   .sxw   .stw   .uot   .ots   .sxc   .stc   .wb2   .odp   .otp

.sxd   .std   .uop   .odg   .otg   .sxm   .mml   .lay   .lay6   .asc   .sqlite3   .sqlitedb
.odb   .frm   .myd   .myi   .ibd   .mdf   .ldf   .suo   .pas   .asm   .cmd   .ps1   .vbs

.dip   .dch   .sch   .brd   .rb   .jar   .fla   .mpeg   .m4u   .djvu   .nef   .cgm   .raw

.vcd   .backup   .tbk   .bz2   .PAQ   .aes   .gpg   .vmx   .vmdk   .vdi   .sldm   .sldx

.sti   .sxi   .602   .hwp   .edb   .potm   .potx   .ppam   .ppsx   .ppsm   .pot   .pptm

.xltm   .xlc   .xlm   .xlt   .xlw   .dot   .docb   .snt   .onetoc2   .dwg   .wk1
.wks   .123   .vsdx   .vsd   .eml   .ost   .pst

[표 1] 암호화 대상 확장자

 

 

 

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 '.crybrazil' 확장자를 덧붙인다.

 

[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일

 

 


4. 결론

이번 보고서에서 알아본 'Crybrazil' 랜섬웨어는 암호화 동작 외에 기존 랜섬웨어에서 주로 사용되는 복원 기능 무력화나 자동 실행 등록 같은 동작은 하지 않는다는 점에서 테스트 목적으로 만들어졌을 가능성도 배제할 수 없다.


현재까지는 별다른 피해가 보고되지 않았으나 향후 기능이 추가되어 피해를 입을 수도 있기 때문에 PC를 사용함에 있어 주의를 기울여야 한다.

 

감염에 의한 피해를 최소한으로 예방하기 위해서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 하며, 중요한 자료를 여러곳에 미리 백업해 두는 습관을 들이는 것이 좋다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

 

 

[그림 7 ] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 7 ] TACHYON Internet Security 5.0 진단 및 치료 화면