분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 10. 31. 10:07

한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의

1. 개요

'Kraken Cryptor' 랜섬웨어는 올해 8월경부터 유포되어 최근 v2.0.7 버전까지 발견되었다. 파일 암호화 이후에는 감염된 PC의 바탕화면을 사용자 언어에 맞춰 변경하여 감염된 사실을 통보하며, 정상적인 파일 삭제 유틸리티를 다운로드해 원본 파일의 흔적까지 삭제하는 방식을 갖고 있다.

 

앞으로 버전 업의 여지가 있어 보이는 'KraKenCryptor' 랜섬웨어를 이번 분석 보고서에서 알아보도록 한다.

 

2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

 파일명

 [임의의 파일명].exe

파일크기

 147,456 byte

 악성동작

 파일 암호화

 


 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포 경로와 비슷할 것으로 추정된다.


2-3. 실행 과정

해당 랜섬웨어가 실행되면 파일 암호화를 진행하고 “랜덤 파일명.랜덤 확장자”로 변경한다. 파일 암호화가 완료되면, 사용자의 언어를 확인하고 언어에 맞는 바탕 화면으로 변경한다. 그리고 ‘Instructions-랜덤 확장.txt’ 랜섬노트를 만든다.

 

 

[그림 1] 감염시 변경 된 바탕화면[그림 1] 감염시 변경 된 바탕화면

 

 

 

[그림 2] 랜섬노트[그림 2] 랜섬노트

 

 

 

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 423개의 확장자를 대상으로 암호화를 진행한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.

 

 

구분 

내용 

 암호화 대상 확장자

 “1cd”,”3dm”,”3ds”,”3fr”,”3g2”,”3gp”,”3pr”,”7z”,”7zip”,”aac”,”ab4”,”abd”,”accdb”,”accde”,

”accdr”,”accdt”,”ach”,”acr”,”act”,”adb”,”adp”,”ads”,”agdl”,”ai”,”aiff”,”ait”,”al”,”aoi”,”apj”,

”arw”,”ascx”,”asf”,”asm”,”asp”,”aspx”,”asx”,”atb”,”avi”,”awg”,”back”,”backup”,”backupdb”,

”bak”,”bank”,”bay”,”bdb”,”bgt”,”bik”,”bin”,”bkp”,”blend”,”bmp”,”bpw”,”c”,”cdb”,”cdf”,

”cdr”,”cdr3”,”cdr4”,”cdr5”,”cdr6”,”cdrw”,”cdx”,”ce1”,”ce2”,”cer”,”cfg”,”cfn”,”cgm”,”cib”,

”class”,”cls”,”cmt”,”config”,”contact”,”cpi”,”cpp”,”cr2”,”craw”,”crt”,”crw”,”cs”,”csh”,”cs”,

”csl”,”css”,”csv”,”dac”,”dat”,”db”,”db3”,”dbf”,”dbx”,”db_journal”,”dc2”,”dcr”,”dcs”,”ddd”,

”ddoc”,”ddrw”,”dds”,”def”,”der”,”des”,”design”,”dgc”,”djvu”,”dng”,”doc”,”docm”,”docx”,

”dot”,”dotm”,”dotx”,”drf”,”drw”,”dtd”,”dwg”,”dxb”,”dxf”,”dxg”,”edb”,”eml”,”eps”,”erbsql”,

”erf”,”exf”,”fdb”,”ffd”,”fff”,”fh”,”fhd”,”fla”,”flac”,”flb”,”flf”,”flv”,”flvv”,”fpx”,”fxg”,”gif”,”gray”,

”grey”,”groups”,”gry”,”h”,”hbk”,”hdd”,”hpp”,”html”,”ibank”,”ibd”,”ibz”,”idx”,”iif”,”iiq”,

”incpas”,”indd”,”info”,”info_”,”ini”,”jar”,”java”,”jnt”,”jpe”,”jpeg”,”jpg”,”js”,”json”,”kc2”,

”kdbx”,”kdc”,”key”,”kpdx”,”kwm”,”laccdb”,”lck”,”ldf”,”lit”,”lock”,”log”,”lua”,”m”,”m2ts”,

”m3u”,”m4p”,”m4v”,”mab”,”mapimail”,”max”,”mbx”,”md”,”mdb”,”mdc”,”mdf”,”mef”,

”mfw”,”mid”,”mkv”,”mlb”,”mmw”,”mny”,”moneywell”,”mos”,”mov”,”mp3”,”mp4”,

”mpeg”,”mpg”,”mrw”,”msf”,”msg”,”myd”,nd”,”ndd”,”ndf”,”nef”,”nk2”,”nop”,”nrw”,”ns2”,

”ns3”,”ns4”,”nsd”,”nsf”,”nsg”,”nsh”,”nvram”,”nwb”,”nx2”,”nxl”,”nyf”,”oab”,”obj”,”odb”,

”odc”,”odf”,”odg”,”odm”,”odp”,”ods”,”odt”,”ogg”,”oil”,”omg”,”orf”,”ost”,”otg”,”oth”,

”otp”,”ots”,”ott”,”p7b”,”p7c”,”p12”,”pab”,”pages”,”pas”,”pat”,”pbf”,”pcd”,”pct”,”pdb”,

”pdd”,”pdf”,”pef”,”pem”,”pfx”,”php”,”pif”,”pl”,”plc”,”plus_muhd”,”pm!”,”pm”,”pmi”,

”pmj”,”pml”,”pmm”,”pmo”,”pmr”,”pnc”,”pnd”,”png”,”pnx”,”pot”,”potm”,”potx”,

”ppam”,”pps”,”ppsm”,”ppsm”,”ppsx”,”ppt”,”pptm”,”pptm”,”pptx”,”prf”,”ps”,”psafe3”,

”psd”,”pspimage”,”pst”,”ptx”,”pwm”,”py”,”qba”,”qbb”,”qbm”,”qbr”,”qbw”,”qbx”,”qby”,

”qcow”,”qcow2”,”qed”,”qtb”,”r3d”,”raf”,”rar”,”rat”,”raw”,”rdb”,”rm”,”rtf”,”rvt”,”rw2”,

”rwl”,”rwz”,”s3db”,”safe”,”sas7bdat”,”sav”,”save”,”say”,”sd0”,”sda”,”sdb”,”sdf”,”sh”,

”sldm”,”sldx”,”sql”,”sqlite”,”sqlite-hm”,”sqlite-wal”,”sqlite3”,”sqlitedb”,”sr2”,”srb”,”srf”,

“srs”,”srt”,”srw”,”st4”,”st5”,”st6”,”st7”,”st8”,”stc”,”std”,”sti”,”stm”,”stw”,”stx”,”svg”,”swf”,

”sxc”,”sxd”,”sxg”,”sxi”,”sxm”,”sxw”,”tbb”,”tbn”,”tex”,”tga”,”thm”,”tlg”,”tlx”,”txt”,”usr”,

”vbox”,”vdi”,”vhd”,”vhdx”,”vmdk”,”vmsd”,”vmx”,”vmxf”,”vob”,”wab”,”wad”,”wallet”,

”war”,”wav”,”wb2”,”wma”,”wmf”,”wmv”,”wpd”,”wps”,”x3f”,”x11”,”xis”,”xla”,”xlam”,

”xlk”,”xlm”,”xlr”,”xls”,”xlsb”,”xlsm”,”xlsx”,”xlt”,”xltm”,”xltx”,”xlw”,”xml”,”ycbcra”,”yuv”,”zip”

 [표 1] 암호화 대상 확장자



 

아래와 같이 특정 파일과 특정 폴더에 위치한 파일에 대해서는 암호화 동작을 수행하지 않는다.

 

 

구분 

내용 

암호화 제외 파일

 “bootsect.bak”,”desktop.ini”,”iconcache.db”,”ntuser.dat”,”thumbs.db”

 암호화 제외 폴더

 “$recycle.bin”,”system volume information”,”$windows.~bt”,”boot”,”drivers”, “programdata”,”all users”,

”windows”,”windows.old”,”appdata”,”programdata”, “sample videos”,”sample pictures”,”sample music”,

”my videos”,”my pictures”, “my music”,”test folder”,”test”,”Tor Bundle”,”steam"

 [표 2] 암호화 제외 파일 및 폴더


 

파일 암호화 전후를 비교해보면 원본 파일명과 확장자를 랜덤파일명과 5자리의 랜덤 확장자로 변경하며, 암호화를 진행한 각 폴더마다 ‘Instructions-5자리의 랜덤 확장명.txt’ 랜섬노트를 남긴다.

 

 

[그림 3] 감염전 원본 파일[그림 3] 감염전 원본 파일

 

 

 

[그림 4] 감염된 파일[그림 4] 감염된 파일

 

 

3-2. 원본 파일 완전삭제

SDelete는 MS에서 제공하는 파일 완전삭제(보안삭제)를 할 수 있는 명령형 유틸리티이다. 해당 랜섬웨어는 SDelete 유틸리티를 “C:\ProgramData” 경로에 다운받고 실행한다. 즉 공격자는 원본 파일을 복구할 수 없도록 SDelete를 악용하여 원본 파일의 흔적까지 완전히 삭제를 한다.

 

 

[그림 5] SDelete.exe를 다운받는 코드[그림 5] SDelete.exe를 다운받는 코드

 

 

 

그리고 “C:\ProgramData” 경로에 ‘release.bat’ 배치 파일을 함께 생성한다.

 

 

[그림 6] 다운받은 SDelete.exe와 생성한 release.bat[그림 6] 다운받은 SDelete.exe와 생성한 release.bat

 

 

 

생성한 ‘release.bat’ 배치 파일에 적힌 명령어를 보면 파일 삭제 유틸리티를 이용한 원본 파일 완전삭제, 시스템 종료, 시동 복구 사용 안함, 시스템 복원 지점 삭제, 볼륨 섀도우 카피 삭제, 자가삭제를 순차적으로 진행한다.

 

 

[그림 7] release.bat 파일의 내용[그림 7] release.bat 파일의 내용

 

 

원본 파일 완전삭제가 끝나면 5분 후 시스템을 종료시킨다. 이때 ‘Unexpected shutdown due to maintenance break’라고 적힌 가짜 메시지를 보여준다.

 

 

[그림 8] 메세지 내용[그림 8] 메세지 내용

 

 

3-3. 복구 무력화

부팅 구성 데이터 편집기(bcdedit.exe)를 이용해 시동 복구를 변경하며, 시스템 백업 지점과 볼륨 섀도우를 삭제하여 사용자의 복구를 막는다.

 

 

명령어

기능

bcdedit.exe /set {default} recoveryenabled No

 윈도우 시동 복구 모드 사용안함

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

 윈도우 오류 복구 알림창 사용안함

 wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

 모든 시스템 상태 백업 삭제

 wmic SHADOWCOPY DELETE

 볼륨 섀도우 복사본 삭제

 Vssadmin delete shadows /All

 볼륨 섀도우 복사본 삭제

 [표 3] 윈도우 복구 모드 비활성화 및 시스템 복원 지점 삭제 명령어와 기능

 


 

4. 결론

이번 보고서에서 알아본 'Kraken Cryptor' 랜섬웨어에 감염되면 파일 암호화를 진행하고 파일 삭제 유틸리티를 다운받아 원본 파일의 흔적마저 지우기 때문에 복구 프로그램을 이용한 복구는 어려울 것으로 보인다. 따라서 감염 시 피해가 더욱 커질 수 있으므로 PC를 사용하는데 있어, 주의를 기울여야 한다. 백신 제품을 설치하고 운영체제를 항상 최신 버전으로 업데이트해야 하며 중요한 자료는 여러 곳에 미리 백업해 두는 습관을 들이는 것이 좋다.