분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]서비스형 랜섬웨어 “Princess Evolution Ransomware” 유포 주의

TACHYON & ISARC 2018. 8. 27. 10:18

서비스형 랜섬웨어 “Princess Evolution Ransomware” 유포 주의

1. 개요

최근, Princess 랜섬웨어의 변종인 “Princess Evolution”의 이름의 랜섬웨어가 유포되고 있어 주의가 필요하다.
해당 랜섬웨어의 제작자는 파일을 배포하여 감염 시키는 활동만 할뿐 아니라, 배포를 함께 할 협력자를 모집하고 있다는 내용과 피해자의 이윤을 배분하겠다고 범죄 사이트를 통해 활발히 활동하고 있는 것으로 확인 된다.

 

이번 보고서에서는 서비스형 랜섬웨어인 “Princess Evolution Ransomware”에 대하여 알아보고자 한다.

 

 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

305,152 bytes

 진단명

Ransom/W32.Princess.305152

 악성동작

파일 암호화

 

 

 

2-2. 유포 경로

해당 랜섬웨어는 함께 배포할 협력자를 모집하고 있기 때문에 다양한 방법을 이용하여 유포 될 가능성이 존재한다. 해외 한 보안 업체에서는 RIG 익스플로잇 킷(RIG Exploit Kit)을 이용하여 브라우저와 플러그인 등의 취약점을 악용하여 웹사이트 방문 시 감염 된다고 전한다.

 

 

 


2-3. 실행 과정

Princess Evolution 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 원본 파일명과 확장자 뒤에 임의로 생성된 문자열로 변경하여 덧붙인다. 또한, 각 폴더에 “(_H0W_TO_REC0VER_[임의의 문자열].html”, “(_H0W_TO_REC0VER_[임의의 문자열].txt”의 랜섬노트파일을 생성한다.

 

 

 

[그림1] Princess Evolution 랜섬노트[그림1] Princess Evolution 랜섬노트

 

 

3. 악성 동작

3-1. 중복 실행 방지

해당 랜섬웨어는 중복 실행 방지를 위해 “"hoJUpcvgHA"라는 뮤텍스와 아래[그림2]와 같이 하기의 경로에 “MeGEZan.VDE”라는 파일을 생성한다.

 

 

 

[그림 2] 중복 실행 방지[그림 2] 중복 실행 방지

 

 

 

 

 

3-2. 파일 암호화

해당 랜섬웨어는 사용자의 파일을 암호화하고 [원본파일명].[확장자] 뒤에 임의의 문자열을 덧붙인다.

 

 

 

[그림 3] 사용자의 파일 암호화[그림 3] 사용자의 파일 암호화

 

 

 

 

3-3. C&C와 통신

해당 랜섬 웨어는 UDP 프로토콜을 이용하여 원격지와 통신하여, 사용자의 컴퓨터명, OS 버전, 암호화 키 등 사용자의 정보를 전송한다.

 

 

 

[그림 4] C&C와 통신[그림 4] C&C와 통신

 

 

 


해당 랜섬웨어는 토르 브라우저를 설치 시 사용자에게 아래와 같은 메인이미지를 표시한 뒤, 사용자의 아이디를 입력 받는다. 사용자의 아이디는 암호화된 파일 폴더내 생성된 랜섬노트에 표기 되어있다.

 

 

[그림 5] Princess Evolution 사이트 메인[그림 5] Princess Evolution 사이트 메인

 

 

 

[그림 6] 사용자 아이디 입력[그림 6] 사용자 아이디 입력

 

 

Princess Evolution 랜섬웨어는 도움말, 비트코인 지불방법, 테스트 파일 복호화 페이지 등 다른 랜섬웨어들과 달리 사이트가 잘 구성되어 있다. 또한 사용자에게 암호화된 파일을 복구하기 위해 0.12000 비트코인을 요구한다.

 

 

 

[그림 7] 결제 안내[그림 7] 결제 안내

 

 

 

 

 

4. 결론

이번 보고서에서 알아 본 "Princess Evolution Ransomware"는 다른 랜섬웨어 비하여 많은 피해 사례가 발생하지 않았으나, 개발자가 범죄사이트에서 배포를 위한 협력자를 모집하는 등 널리 홍보하고 있어 배포 위험성이 다분하여 사용자들의 주의를 요한다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능