분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]서비스형 랜섬웨어 FilesLocker Ransomware 주의

TACHYON & ISARC 2018. 11. 15. 17:51

서비스형 랜섬웨어 FilesLocker Ransomware 주의

1. 개요

최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다.

 

이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다.


2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

 파일명

 [임의의 파일명].exe

파일크기

 201,216 byte

 악성동작

 파일 암호화

 

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다.


 

2-3. 실행 과정

해당 랜섬웨어가 실행되면 사용자 PC의 특정 경로를 대상으로 파일 암호화를 진행하고, 파일 암호화가 완료되면 파일명에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어 및 영어로 표기된 FilesLocker 랜섬노트 팝업창과 감염 사실을 통보하기 위한 이미지를 사용자에게 띄운다.

 

 

[그림 1] ‘FilesLcoker’ 랜섬노트 팝업창[그림 1] ‘FilesLcoker’ 랜섬노트 팝업창

 

 

 

 

 

[그림2] 감염 사실 통보[그림2] 감염 사실 통보

 

 

 

 

 

 

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 바탕화면, ‘C:\Users\’, ‘C:\ProgramData’ 등 특정 폴더를 검색하고 암호화할 파일들을 식별한다.

 

 

[그림 3] 파일 암호화 대상 경로[그림 3] 파일 암호화 대상 경로

 

 

 

 

 

 

 

앞서 설명한 경로에서 아래에 해당하는 확장자를 대상으로 암호화를 진행한다.

 

 

구분 

내용 

 암호화 대상 확장자

".gif",".apk",".groups",".hdd",".hpp",".log",".m2ts",".m4p",".mkv",".mpeg",".epub",".yuv",

".ndf",".nvram",".ogg",".ost",".pab",".pdb",".pif",".png",".qed",".qcow",".otp",".s3db",".qcow2",

".rvt",".st7",".stm",".vbox",".vdi",".vhd",".vhdx",".vmdk",".vmsd",".psafe3",".vmx",".vmxf",".3fr",

".3pr",".ab4",".accde",".accdr",".accdt",".ach",".acr",".sd0",".sxw",".adb",".advertisements",".agdl",

".ait",".apj",".asm",".awg",".back",".backup",".sti",".oil",".backupdb",".bay",".bdb",".bgt",".bik",

".bpw",".cdr3",".cdr4",".cdr5",".cdr6",".ycbcra",".cdrw",".ce1",".ce2",".cib",".craw",".crw",".csh",

".csl",".db_journal",".dc2",".pptm",".dcs",".ddoc",".ddrw",".der",".des",".dgc",".djvu",".dng",".drf",

".dxg",".eml",".ppt",".erbsql",".erf",".exf",".ffd",".fh",".fhd",".flp",".gray",".grey",".gry",".hbk",".ibd",

".7z",".ibz",".iiq",".incpas",".jpe",".kc2",".kdbx",".kdc",".kpdx",".ldf",".lua",".mdc",".mdf",".mef",

".config",".mfw",".mmw",".mny",".mrw",".myd",".ndd",".nef",".nk2",".nop",".nrw",".ns2",".ns3",

".ldf",".ns4",".nwb",".nx2",".nxl",".nyf",".odb",".odf",".odg",".odm",".orf",".otg",".oth",".py",".ots",

".ott",".p12",".p7b",".p7c",".pdd",".pem",".plus_muhd",".plc",".pot",".pptx",".py",".qba",".qbr",

".qbw",".qbx",".qby",".raf",".rat",".raw",".rdb",".rwl",".rwz",".conf",".sda",".sdf",".sqlite",".sqlite3",

".sqlitedb",".sr2",".srf",".srw",".st5",".st8",".std",".stx",".sxd",".sxg",".sxi",".sxm",".tex",".wallet",

".wb2",".wpd",".x11",".x3f",".xis",".ARC",".contact",".dbx",".doc",".docx",".jnt",".jpg",".msg",".oab",

".ods",".pdf",".pps",".ppsm",".prf",".pst",".rar",".rtf",".txt",".wab",".xls",".xlsx",".xml",".zip",".1cd",

".3ds",".3g2",".7zip",".accdb",".aoi",".asf",".asp",".aspx",".asx",".avi",".bak",".cer",".cfg",".class",

".cs",".css",".csv",".db",".dds",".dwg",".dxf",".flf",".flv",".html",".idx",".js",".key",".kwm",".laccdb",

".lit",".m3u",".mbx",".md",".mdf",".mid",".mlb",".mov",".mp3",".mp4",".mpg",".obj",".odt",".pages",

".php",".psd",".pwm",".rm",".safe",".sav",".save",".sql",".srt",".swf",".thm",".vob",".wav",".wma",

".wmv",".xlsb",".3dm",".aac",".ai",".arw",".c",".cdr",".cls",".cpi",".cpp",".cs",".db3",".docm",".dot",

".dotm",".dotx",".drw",".dxb",".eps",".fla",".flac",".fxg",".java",".m",".m4v",".max",".mdb",".pcd",

".pct",".pl",".potm",".potx",".ppam",".ppsm",".ppsx",".pptm",".ps",".r3d",".rw2",".sldm",".sldx",

".svg",".tga",".wps",".xla",".xlam",".xlm",".xlr",".xlsm",".xlt",".xltm",".xltx",".xlw",".act",".adp",".al",

".dip",".docb",".frm",".gpg",".lay",".lay6",".m4u",".mml",".myi",".onetoc2",".PAQ",".ps1",".sch",

".slk",".snt",".suo",".tgz",".tif",".tiff",".txt",".uop",".uot",".vcd",".wk1",".wks",".xlc"

 [표 1] 암호화 대상 확장자

 



 

 

 

 

 

파일 암호화가 완료되면, 원본 파일 확장자에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어, 영어로 작성된 ‘#解密我的文件#.txt’, ‘#DECRYPT MY FILES#.txt’ 랜섬노트를 바탕화면과 C드라이브에 생성한다.

 

 

[그림 4] 감염된 사용자 파일[그림 4] 감염된 사용자 파일

 

 

 

 

[그림 5] 랜섬노트 ‘#DECRYPT MY FILES#.txt’ ‘#解密我的文件#.txt’[그림 5] 랜섬노트 ‘#DECRYPT MY FILES#.txt’ ‘#解密我的文件#.txt’

 

 

 

3-2. 시스템 복원 지점 삭제

감염된 사용자가 PC를 감염 이전으로 되돌리는 것을 막기위해 볼륨 쉐도우 복사본을 삭제한다.

 

 

[그림 6] 시스템 복원 지점 삭제 실행[그림 6] 시스템 복원 지점 삭제 실행

 

 

 

 

4. 결론

이번 보고서에서 알아본 "FilesLocker” 랜섬웨어는 일반적인 형태의 랜섬웨어이지만 서비스형 랜섬웨어 형태로 배포된다고 알려지기 때문에, 전문지식이 없는 공격자도 랜섬웨어를 구매하여 유포할 수 있으므로 사용자들의 주의를 필요로 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.