무료 복구 툴이 개발된 CryptoNar 랜섬웨어
1. 개요
최근 발견 된 'CryptoNar' 랜섬웨어는 'CryptoJoker' 랜섬웨어의 변종으로 알려져 있다.
변종으로 보여지는 이유로 파일 암호화 시, 정상 파일의 확장자를 비교하여 각기 다른 두 종류의 확장자를 추가로 덧붙이는데 비교하는 대상 확장자의 기준이 동일하기 때문인것으로 보여진다.
이번 보고서에서는 ‘CryptoNar’ 랜섬웨어에 대해서 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
[임의의 파일명].exe |
파일크기 |
512,512 bytes |
진단명 |
Ransom/W32.CryptoNar |
악성동작 |
파일 암호화 |
2-2. 유포 경로
정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 사이트를 통해 유포되었을 것으로 추정된다.
2-3. 실행 과정
CryptoNar 랜섬웨어를 실행하면 바탕화면에 존재하는 사용자의 모든 파일을 암호화하고 확장자를 fully.cryptoNar 또는 partially.cryptoNar 로 덧붙인다.
[그림 1] 암호화 된 파일
파일을 암호화한 이후에는 바탕화면에 생성된 CryptoNarDecryptor.exe 프로그램이 실행되며, 암호화된 파일을 복구하기 위해 서는 비트 코인을 지불해야 한다는 내용을 담고있다. 함께 생성된 CRYPTONAR RECOVERY INFORMATION.txt 에도 같은 내용이 적혀있다.
[그림 2] CryptoNarDecryptor.exe
[그림 3] CRYPTONAR RECOVERY INFORMATION.txt
3. 악성 동작
3-1. 파일 암호화
‘CryptoNar Ransomware’ 는 ‘%USERPROFILE%’ 환경변수 경로의 사용자 파일을 암호화한다. 사용자 파일의 확장자가 txt 또는 md 이면 파일을 전체 암호화하고 fully.crytoNar 확장자로 덧붙인다. 그 외의 확장자는 부분 암호화를 진행하고 partially.cryptoNar 확장자로 덧붙인다. 부분 암호화된 파일 같은 경우 첫 1024바이트만 암호화가 진행된다.
[그림 4] 암호화 대상 파일의 확장자
[그림 5] 부분 암호화된 파일
[그림 5]에서 원본 파일을 암호화된 파일로 감염시킬 때, 암호화 키의 첫 바이트를 사용한다. 암호화 키는 무작위로 생성된 20바이트인데, 20바이트 중 첫 번째 바이트를 원본 파일과 바이트 단위로 덧셈해서 암호화된 파일로 감염시킨다.
3-2. 암호화 정보 수집
사용자의 파일을 암호화한 뒤에는 사용자의 PC를 식별할 수 있는 정보와 복호화 키를 전자메일 내용에 적고 공격자에게 전송하게 되어있다.
[그림 6] 전자메일의 내용
[그림 7] SMTP 메일 서버와 연결
3-3. 복호화
‘3-2 암호화 정보 수집’ 에서 복호화 키는 2440바이트이고 base64인코딩이 되어있다. ‘2-3 실행과정의 [그림 2] CryptoNarDecryptor.exe’에 복호화 키를 입력하면 감염된 파일을 원상복구 할 수 있다.
[그림 8] 복호화 키 입력
[그림 9] 복호화 진행
[그림 10] 복호화 된 파일
4. 결론
이번 보고서에서 알아본 CryptoNar 랜섬웨어의 경우 해외에서 무료 복구 툴이 제작되었다. 무료 복구 툴은 무작위 대입법(특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것)으로 복호화를 하는데, 복구된 데이터를 정상적으로 사용할 수 있는지에 대한 검증 여부는 알 수 없다. 따라서 랜섬웨어에 대한 피해를 예방하기 위해 중요한 자료는 백업을 해두고, 불분명한 링크나 첨부 파일은 함부로 열지 않아야 한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[랜섬웨어 분석]한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 (0) | 2018.10.31 |
---|---|
[랜섬웨어 분석]다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 (0) | 2018.10.08 |
[랜섬웨어 분석]복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의 (0) | 2018.09.17 |
[랜섬웨어 분석]서비스형 랜섬웨어 “Princess Evolution Ransomware” 유포 주의 (0) | 2018.08.27 |
[랜섬웨어 분석]‘Desu’ 랜섬웨어 감염 주의 (0) | 2018.08.21 |