[랜섬웨어 분석]다시 등장한 GlobeImposter 랜섬웨어 감염 주의

다시 등장한 GlobeImposter 랜섬웨어 감염 주의

1. 개요

2017년 하반기 이메일의 첨부파일 형태로 위장하여 유포 되었던, GlobeImposter 랜섬웨어가 최근 다시 등장하기 시작하였다. 해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 이용하거나 이메일 첨부 등 다양한 유포방식을 사용하고 있기 때문에 중요한 파일이 손실되지 않도록 주의가 필요하다.

 

이번 보고서에는 최근에 발견 된 GlobeImposter 랜섬웨어 대해서 알아보고자 한다.

 

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	516,096 bytes
진단명	Ransom/W32.GlobeImposter.516096
악성동작	파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 메일 첨부파일 형태로 위장해서 유포 되는 것으로 추측 될 뿐, 아직 정확한 유포경로는 밝혀지지 않았다.

 

2-3. 실행 과정

GlobeImposter 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 복제한 파일을 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에 등록한 뒤, .docx 라는 확장자를 덧붙이며 암호화를 진행한다. 암호화가 완료 된 후 랜섬노트에 결제방법을 안내한다.

 

[그림 1] GlobeImposter 랜섬웨어 랜섬노트

 

 

 

 

 

3. 악성 동작

3-1. 자가 복제

랜섬웨어가 실행되면 ‘C:\Users\UserName\AppData\Local\’ 경로에 자기 자신을 복제한다.

 

[그림 2] 복제한 파일

 

 

3-2. 자동 실행 등록

자기 자신을 복제한 파일을 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce’ 레지스트리에 ‘BrowserUpdateCheck’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 3] 자동 실행 등록

 

 

3-3. 파일 암호화

해당 랜섬웨어는 문서파일(.doc, .txt등), 실행파일(.exe)을 포함하여 모든 파일을 암호화 한다. 암호화 한 뒤 [그림 4] 와 .docx 확장자를 덧붙인다. 또한 암호화를 완료한 폴더에 ‘YOU_FILES_HERE.txt’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 4] 암호화 된 파일

 

 

3-4. .bat 파일 생성

암호화 완료 후에 ‘C:\Users\UserName\AppData\Local\Temp’ 경로에 .bat파일을 생성한다.

 

[그림 5] .bat 파일 생성

 

 

 

 

 

해당 .bat 파일의 내용을 살펴보면 볼륨 섀도 복사본 삭제, Terminal Server 관련 레지스트리 삭제 등 원활한 파일 암호화를 위한 동작으로 보여진다.

 

[그림 6] .bat 파일 내용

 

 

 

 

4. 결론

이번 보고서에서 알아 본 GlobeImposter 랜섬웨어는 계속해서 여러 변종들이 발견되고 있고, 모든 파일을 암호화 시키기 때문에 복호화에 실패 할 경우 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 항상 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면