서비스형 랜섬웨어 FilesLocker Ransomware 주의
1. 개요
최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다.
이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
[임의의 파일명].exe |
파일크기 |
201,216 byte |
악성동작 |
파일 암호화 |
2-2. 유포 경로
정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다.
2-3. 실행 과정
해당 랜섬웨어가 실행되면 사용자 PC의 특정 경로를 대상으로 파일 암호화를 진행하고, 파일 암호화가 완료되면 파일명에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어 및 영어로 표기된 FilesLocker 랜섬노트 팝업창과 감염 사실을 통보하기 위한 이미지를 사용자에게 띄운다.
[그림 1] ‘FilesLcoker’ 랜섬노트 팝업창
[그림2] 감염 사실 통보
3. 악성 동작
3-1. 파일 암호화
해당 랜섬웨어는 바탕화면, ‘C:\Users\’, ‘C:\ProgramData’ 등 특정 폴더를 검색하고 암호화할 파일들을 식별한다.
[그림 3] 파일 암호화 대상 경로
앞서 설명한 경로에서 아래에 해당하는 확장자를 대상으로 암호화를 진행한다.
구분 |
내용 |
암호화 대상 확장자 |
".gif",".apk",".groups",".hdd",".hpp",".log",".m2ts",".m4p",".mkv",".mpeg",".epub",".yuv", ".ndf",".nvram",".ogg",".ost",".pab",".pdb",".pif",".png",".qed",".qcow",".otp",".s3db",".qcow2", ".rvt",".st7",".stm",".vbox",".vdi",".vhd",".vhdx",".vmdk",".vmsd",".psafe3",".vmx",".vmxf",".3fr", ".3pr",".ab4",".accde",".accdr",".accdt",".ach",".acr",".sd0",".sxw",".adb",".advertisements",".agdl", ".ait",".apj",".asm",".awg",".back",".backup",".sti",".oil",".backupdb",".bay",".bdb",".bgt",".bik", ".bpw",".cdr3",".cdr4",".cdr5",".cdr6",".ycbcra",".cdrw",".ce1",".ce2",".cib",".craw",".crw",".csh", ".csl",".db_journal",".dc2",".pptm",".dcs",".ddoc",".ddrw",".der",".des",".dgc",".djvu",".dng",".drf", ".dxg",".eml",".ppt",".erbsql",".erf",".exf",".ffd",".fh",".fhd",".flp",".gray",".grey",".gry",".hbk",".ibd", ".7z",".ibz",".iiq",".incpas",".jpe",".kc2",".kdbx",".kdc",".kpdx",".ldf",".lua",".mdc",".mdf",".mef", ".config",".mfw",".mmw",".mny",".mrw",".myd",".ndd",".nef",".nk2",".nop",".nrw",".ns2",".ns3", ".ldf",".ns4",".nwb",".nx2",".nxl",".nyf",".odb",".odf",".odg",".odm",".orf",".otg",".oth",".py",".ots", ".ott",".p12",".p7b",".p7c",".pdd",".pem",".plus_muhd",".plc",".pot",".pptx",".py",".qba",".qbr", ".qbw",".qbx",".qby",".raf",".rat",".raw",".rdb",".rwl",".rwz",".conf",".sda",".sdf",".sqlite",".sqlite3", ".sqlitedb",".sr2",".srf",".srw",".st5",".st8",".std",".stx",".sxd",".sxg",".sxi",".sxm",".tex",".wallet", ".wb2",".wpd",".x11",".x3f",".xis",".ARC",".contact",".dbx",".doc",".docx",".jnt",".jpg",".msg",".oab", ".ods",".pdf",".pps",".ppsm",".prf",".pst",".rar",".rtf",".txt",".wab",".xls",".xlsx",".xml",".zip",".1cd", ".3ds",".3g2",".7zip",".accdb",".aoi",".asf",".asp",".aspx",".asx",".avi",".bak",".cer",".cfg",".class", ".cs",".css",".csv",".db",".dds",".dwg",".dxf",".flf",".flv",".html",".idx",".js",".key",".kwm",".laccdb", ".lit",".m3u",".mbx",".md",".mdf",".mid",".mlb",".mov",".mp3",".mp4",".mpg",".obj",".odt",".pages", ".php",".psd",".pwm",".rm",".safe",".sav",".save",".sql",".srt",".swf",".thm",".vob",".wav",".wma", ".wmv",".xlsb",".3dm",".aac",".ai",".arw",".c",".cdr",".cls",".cpi",".cpp",".cs",".db3",".docm",".dot", ".dotm",".dotx",".drw",".dxb",".eps",".fla",".flac",".fxg",".java",".m",".m4v",".max",".mdb",".pcd", ".pct",".pl",".potm",".potx",".ppam",".ppsm",".ppsx",".pptm",".ps",".r3d",".rw2",".sldm",".sldx", ".svg",".tga",".wps",".xla",".xlam",".xlm",".xlr",".xlsm",".xlt",".xltm",".xltx",".xlw",".act",".adp",".al", ".dip",".docb",".frm",".gpg",".lay",".lay6",".m4u",".mml",".myi",".onetoc2",".PAQ",".ps1",".sch", ".slk",".snt",".suo",".tgz",".tif",".tiff",".txt",".uop",".uot",".vcd",".wk1",".wks",".xlc" |
[표 1] 암호화 대상 확장자
파일 암호화가 완료되면, 원본 파일 확장자에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어, 영어로 작성된 ‘#解密我的文件#.txt’, ‘#DECRYPT MY FILES#.txt’ 랜섬노트를 바탕화면과 C드라이브에 생성한다.
[그림 4] 감염된 사용자 파일
[그림 5] 랜섬노트 ‘#DECRYPT MY FILES#.txt’ ‘#解密我的文件#.txt’
3-2. 시스템 복원 지점 삭제
감염된 사용자가 PC를 감염 이전으로 되돌리는 것을 막기위해 볼륨 쉐도우 복사본을 삭제한다.
[그림 6] 시스템 복원 지점 삭제 실행
4. 결론
이번 보고서에서 알아본 "FilesLocker” 랜섬웨어는 일반적인 형태의 랜섬웨어이지만 서비스형 랜섬웨어 형태로 배포된다고 알려지기 때문에, 전문지식이 없는 공격자도 랜섬웨어를 구매하여 유포할 수 있으므로 사용자들의 주의를 필요로 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[랜섬웨어 분석]다시 등장한 GlobeImposter 랜섬웨어 감염 주의 (0) | 2018.12.17 |
---|---|
[랜섬웨어 분석]Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 (0) | 2018.12.11 |
[랜섬웨어 분석]한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 (0) | 2018.10.31 |
[랜섬웨어 분석]다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 (0) | 2018.10.08 |
[랜섬웨어 분석]무료 복구 툴이 개발된 CryptoNar 랜섬웨어 (0) | 2018.09.24 |