분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]다시 등장한 GlobeImposter 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 12. 17. 08:00

다시 등장한 GlobeImposter 랜섬웨어 감염 주의

1. 개요

2017년 하반기 이메일의 첨부파일 형태로 위장하여 유포 되었던, GlobeImposter 랜섬웨어가 최근 다시 등장하기 시작하였다. 해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 이용하거나 이메일 첨부 등 다양한 유포방식을 사용하고 있기 때문에 중요한 파일이 손실되지 않도록 주의가 필요하다.

 

이번 보고서에는 최근에 발견 된 GlobeImposter 랜섬웨어 대해서 알아보고자 한다.

 


 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

516,096 bytes

 진단명

Ransom/W32.GlobeImposter.516096

 악성동작

파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 메일 첨부파일 형태로 위장해서 유포 되는 것으로 추측 될 뿐, 아직 정확한 유포경로는 밝혀지지 않았다.


 

2-3. 실행 과정

GlobeImposter 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 복제한 파일을 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에 등록한 뒤, .docx 라는 확장자를 덧붙이며 암호화를 진행한다. 암호화가 완료 된 후 랜섬노트에 결제방법을 안내한다.

 

[그림 1] GlobeImposter 랜섬웨어 랜섬노트[그림 1] GlobeImposter 랜섬웨어 랜섬노트

 

 

 

 

 

3. 악성 동작

3-1. 자가 복제

랜섬웨어가 실행되면 ‘C:\Users\UserName\AppData\Local\’ 경로에 자기 자신을 복제한다.

 

[그림 2] 복제한 파일[그림 2] 복제한 파일

 

 

3-2. 자동 실행 등록

자기 자신을 복제한 파일을 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce’ 레지스트리에 ‘BrowserUpdateCheck’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 3] 자동 실행 등록[그림 3] 자동 실행 등록

 

 

3-3. 파일 암호화

해당 랜섬웨어는 문서파일(.doc, .txt등), 실행파일(.exe)을 포함하여 모든 파일을 암호화 한다. 암호화 한 뒤 [그림 4] 와 .docx 확장자를 덧붙인다. 또한 암호화를 완료한 폴더에 ‘YOU_FILES_HERE.txt’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 4] 암호화 된 파일[그림 4] 암호화 된 파일

 

 

3-4. .bat 파일 생성

암호화 완료 후에 ‘C:\Users\UserName\AppData\Local\Temp’ 경로에 .bat파일을 생성한다.

 

[그림 5] .bat 파일 생성[그림 5] .bat 파일 생성

 

 

 

 

 

해당 .bat 파일의 내용을 살펴보면 볼륨 섀도 복사본 삭제, Terminal Server 관련 레지스트리 삭제 등 원활한 파일 암호화를 위한 동작으로 보여진다.

 

[그림 6] .bat 파일 내용[그림 6] .bat 파일 내용

 

 

 

 

4. 결론

이번 보고서에서 알아 본 GlobeImposter 랜섬웨어는 계속해서 여러 변종들이 발견되고 있고, 모든 파일을 암호화 시키기 때문에 복호화에 실패 할 경우 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 항상 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면