[랜섬웨어 분석]무료 복구 툴이 개발된 CryptoNar 랜섬웨어

무료 복구 툴이 개발된 CryptoNar 랜섬웨어

1. 개요

최근 발견 된 'CryptoNar' 랜섬웨어는 'CryptoJoker' 랜섬웨어의 변종으로 알려져 있다.
변종으로 보여지는 이유로 파일 암호화 시, 정상 파일의 확장자를 비교하여 각기 다른 두 종류의 확장자를 추가로 덧붙이는데 비교하는 대상 확장자의 기준이 동일하기 때문인것으로 보여진다.

이번 보고서에서는 ‘CryptoNar’ 랜섬웨어에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	512,512 bytes
진단명	Ransom/W32.CryptoNar
악성동작	파일 암호화

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 사이트를 통해 유포되었을 것으로 추정된다.

 

2-3. 실행 과정

CryptoNar 랜섬웨어를 실행하면 바탕화면에 존재하는 사용자의 모든 파일을 암호화하고 확장자를 fully.cryptoNar 또는 partially.cryptoNar 로 덧붙인다.

 

[그림 1] 암호화 된 파일

 

 

 

 

 

 

 

파일을 암호화한 이후에는 바탕화면에 생성된 CryptoNarDecryptor.exe 프로그램이 실행되며, 암호화된 파일을 복구하기 위해 서는 비트 코인을 지불해야 한다는 내용을 담고있다. 함께 생성된 CRYPTONAR RECOVERY INFORMATION.txt 에도 같은 내용이 적혀있다.

 

[그림 2] CryptoNarDecryptor.exe

 

 

 

[그림 3] CRYPTONAR RECOVERY INFORMATION.txt

 

 

 

3. 악성 동작

3-1. 파일 암호화

‘CryptoNar Ransomware’ 는 ‘%USERPROFILE%’ 환경변수 경로의 사용자 파일을 암호화한다. 사용자 파일의 확장자가 txt 또는 md 이면 파일을 전체 암호화하고 fully.crytoNar 확장자로 덧붙인다. 그 외의 확장자는 부분 암호화를 진행하고 partially.cryptoNar 확장자로 덧붙인다. 부분 암호화된 파일 같은 경우 첫 1024바이트만 암호화가 진행된다.
 

[그림 4] 암호화 대상 파일의 확장자

 

 

 

[그림 5] 부분 암호화된 파일

 

[그림 5]에서 원본 파일을 암호화된 파일로 감염시킬 때, 암호화 키의 첫 바이트를 사용한다. 암호화 키는 무작위로 생성된 20바이트인데, 20바이트 중 첫 번째 바이트를 원본 파일과 바이트 단위로 덧셈해서 암호화된 파일로 감염시킨다.

 

3-2. 암호화 정보 수집

사용자의 파일을 암호화한 뒤에는 사용자의 PC를 식별할 수 있는 정보와 복호화 키를 전자메일 내용에 적고 공격자에게 전송하게 되어있다.

 

[그림 6] 전자메일의 내용

 

 

[그림 7] SMTP 메일 서버와 연결

 

 

 

3-3. 복호화

‘3-2 암호화 정보 수집’ 에서 복호화 키는 2440바이트이고 base64인코딩이 되어있다. ‘2-3 실행과정의 [그림 2] CryptoNarDecryptor.exe’에 복호화 키를 입력하면 감염된 파일을 원상복구 할 수 있다.

 

[그림 8] 복호화 키 입력

 

 

[그림 9] 복호화 진행

 

 

[그림 10] 복호화 된 파일

 

 

 

4. 결론

이번 보고서에서 알아본 CryptoNar 랜섬웨어의 경우 해외에서 무료 복구 툴이 제작되었다. 무료 복구 툴은 무작위 대입법(특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것)으로 복호화를 하는데, 복구된 데이터를 정상적으로 사용할 수 있는지에 대한 검증 여부는 알 수 없다. 따라서 랜섬웨어에 대한 피해를 예방하기 위해 중요한 자료는 백업을 해두고, 불분명한 링크나 첨부 파일은 함부로 열지 않아야 한다.