분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Rotor 랜섬웨어 변종 감염 주의

TACHYON & ISARC 2018. 7. 3. 09:36

Rotor 랜섬웨어 변종 감염 주의

1. 개요

최근 Rotor 또는 RotorCrypt라고 불리는 랜섬웨어의 변종이 나타나 유포되고 있다. 기존의 Rotor 랜섬웨어는 공격자와 접촉할 수 있는 이메일 주소를 암호화 파일 확장자로 사용해왔다. 하지만 이번에 유포된 변종은 파일 확장자를 바꾸지 않은 채 암호화를 진행하여 사용자가 감염 사실을 알아차리기 어렵게 한다.


이번 보고서에서는 Rotor 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

파일명

[임의의 파일명].exe

파일크기

71,168 bytes

진단명

Ransom/W32.Rotor.71168

악성 동작

파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Rotor 랜섬웨어 실행 시, 윈도우 섀도우 복사본을 삭제하고 윈도우 복구 모드를 비활성화하여 시스템 복원 기능을 무력화한다. 이후 감염된 PC를 탐색하며 파일을 암호화하고 “HELP”라는 이름의 랜섬노트를 생성한다. 또한 암호화를 진행하는 동안 지속적으로 레지스트리를 수정하여 랜섬웨어 실행 파일을 자동 실행 프로그램으로 등록한다.

 

 

[그림 1] 랜섬노트 “HELP” 파일[그림 1] 랜섬노트 “HELP” 파일

 

3. 악성 동작

3-1. 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

파일 암호화를 수행하기 전, 새로운 프로세스를 생성하여 아래 [표 1]의 명령을 실행한다. “vssadmin.exe” 프로세스는 사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 시스템 복원 지점을 삭제한다. 또한 “bcdedit.exe” 프로세스는 윈도우 복구 모드를 비활성화하고, 윈도우 오류 복구 알림창이 나타나지 않도록 설정한다.

 

명령어

기능

vssadmin.exe delete shadows /all /Quite

볼륨 섀도우 복사본 삭제

bcdedit.exe /set {default} recoveryenabled no

윈도우 복구 모드 비활성화

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

윈도우 오류 복구 알림 비활성화

[표 1] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

 

 

3-2. 자동 실행 등록

파일 암호화를 진행하는 동시에 자신을 복제하여 무작위 파일명으로 생성한다. 이후 Run 레지스트리를 수정하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록

 

 

3-3. 파일 암호화 

해당 랜섬웨어는 감염된 PC를 탐색하며 아래 [표 2]에 해당하지 않는 파일을 암호화한다. 암호화 제외 경로에 속하거나 암호화 제외 폴더에 속한 폴더는 모든 하위 파일을 암호화하지 않는다. 또한 파일 확장자가 암호화 제외 확장자에 속하거나, 파일명의 시작 부분이 암호화 제외 문자열을 포함해도 암호화하지 않는다. 암호화된 파일은 [그림 3]과 같이 파일의 마지막 4바이트가 고정된 값을 가지는 것을 확인할 수 있다.

 

구분 

내용 

암호화 제외 경로

%SYSTEMROOT%\system32, %SYSTEMROOT%, %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files

암호화 제외폴더

Crypto, Credentials, AppCache, FireFox, Explorer, Chrome, Opera, Mozilla,

Outlook, Safari, Google, Content.IE, Histroy.IE

암호화 제외 확장자

.386, .73u, .8xu, .adm, .adml, .admx, .adv, .ani, .ann, .aos, .asec, .bat, .bcd,

.bio, .bk2, .blf, .bmk, .bud, .cdmp, .chs, .ci, .clb, .cnt, .cpi, .cpl, .cpq, .com,

.cur, .desklink, .deskthemepack, .dev, .diagcab, .diagcfg, .diagpkg, .dimax,

.dit, .dlx, .dll, .dls, .dmp, .drv, .dss, .dvd, .dyc, .ebd, .efi, .evtx, .exe, .ffa, .ffl,

.ffo, .ffx, .ftg, .fts, .gmmp, .grl, .group, .grp, .h1s, .hdmp, .hhc, .hhk, .hiv, .hlp,

.hpj, .hsh, .htt, .icl, .icns, .ico, .idi, .idx, .ime, .img3, .inf, .inf_loc, .ini, .ins, .ion,

.itemdata-ms, .its, .jpn, .kbd, .kor, .library-ms, .lng, .lnk, .lib, .manifest,

.mapimail, .mdmp, .mlc, .mnu, .msc, .msp, .msstyle, .msstyles, .mui,

.mui_cccd5ae0, .mum, .mydocs, .nfo, .nls, .nt, .ntfs, .ocx, .p7b, .pck, .pdr, .pid,

.pol, .ppd, .prf, .printerexport, .prt, .ps2, .pwl, .regtrans-ms, .rs, .rnd,

.savedsearch, .scf, .scr, .sdb, .shd, .shsh, .str, .swp, .sys, .tha, .theme, .trx_dll,

.uce, .vga, .vgd, .vx_, .vxd, .wdf, .wdgt, .webpnp, .wer, .wph, .wpx, .xrm-ms

암호화 제외 문자열

 ntuser., normal.dot, container.dat, UsrClass., WebCacheLock., WindowsUpdate.,

AUTOEXEC., boot, ntldr

[표 2] 암호화 제외 목록

 

 

 

[그림 3] 파일 암호화[그림 3] 파일 암호화

 

 

4. 결론

이번 보고서에서 알아본 Rotor 랜섬웨어는 암호화된 파일의 확장자를 변경하지 않기 때문에 사용자가 감염 사실을 알아채는 것이 늦을 수 있다. 또한 암호화된 파일과 정상 파일을 구분하기가 쉽지 않아 감염 시 대응에 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능