다시 등장한 GlobeImposter 랜섬웨어 감염 주의
1. 개요
2017년 하반기 이메일의 첨부파일 형태로 위장하여 유포 되었던, GlobeImposter 랜섬웨어가 최근 다시 등장하기 시작하였다. 해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 이용하거나 이메일 첨부 등 다양한 유포방식을 사용하고 있기 때문에 중요한 파일이 손실되지 않도록 주의가 필요하다.
이번 보고서에는 최근에 발견 된 GlobeImposter 랜섬웨어 대해서 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
[임의의 파일명].exe |
파일크기 |
516,096 bytes |
진단명 |
Ransom/W32.GlobeImposter.516096 |
악성동작 |
파일 암호화 |
2-2. 유포 경로
해당 랜섬웨어는 메일 첨부파일 형태로 위장해서 유포 되는 것으로 추측 될 뿐, 아직 정확한 유포경로는 밝혀지지 않았다.
2-3. 실행 과정
GlobeImposter 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 복제한 파일을 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에 등록한 뒤, .docx 라는 확장자를 덧붙이며 암호화를 진행한다. 암호화가 완료 된 후 랜섬노트에 결제방법을 안내한다.
[그림 1] GlobeImposter 랜섬웨어 랜섬노트
3. 악성 동작
3-1. 자가 복제
랜섬웨어가 실행되면 ‘C:\Users\UserName\AppData\Local\’ 경로에 자기 자신을 복제한다.
[그림 2] 복제한 파일
3-2. 자동 실행 등록
자기 자신을 복제한 파일을 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce’ 레지스트리에 ‘BrowserUpdateCheck’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
[그림 3] 자동 실행 등록
3-3. 파일 암호화
해당 랜섬웨어는 문서파일(.doc, .txt등), 실행파일(.exe)을 포함하여 모든 파일을 암호화 한다. 암호화 한 뒤 [그림 4] 와 .docx 확장자를 덧붙인다. 또한 암호화를 완료한 폴더에 ‘YOU_FILES_HERE.txt’ 라는 이름의 랜섬노트를 생성한다.
[그림 4] 암호화 된 파일
3-4. .bat 파일 생성
암호화 완료 후에 ‘C:\Users\UserName\AppData\Local\Temp’ 경로에 .bat파일을 생성한다.
[그림 5] .bat 파일 생성
해당 .bat 파일의 내용을 살펴보면 볼륨 섀도 복사본 삭제, Terminal Server 관련 레지스트리 삭제 등 원활한 파일 암호화를 위한 동작으로 보여진다.
[그림 6] .bat 파일 내용
4. 결론
이번 보고서에서 알아 본 GlobeImposter 랜섬웨어는 계속해서 여러 변종들이 발견되고 있고, 모든 파일을 암호화 시키기 때문에 복호화에 실패 할 경우 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 항상 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[랜섬웨어 분석]Facebook 통해 접촉 요구하는 Boom 랜섬웨어 감염 주의 (0) | 2019.01.15 |
---|---|
[랜섬웨어 분석]오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의 (0) | 2019.01.02 |
[랜섬웨어 분석]Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 (0) | 2018.12.11 |
[랜섬웨어 분석]서비스형 랜섬웨어 FilesLocker Ransomware 주의 (0) | 2018.11.15 |
[랜섬웨어 분석]한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 (0) | 2018.10.31 |