분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 1. 2. 14:55

오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의

 

1. 개요

CryptoWire 랜섬웨어는 2016년도에 오픈소스 코딩 사이트 GitHub에 익명의 사용자로부터 원본 소스 코드가 공개되고 나서 CryptoWire 랜섬웨어의 변종인 Lomix, UltraLocker 랜섬웨어가 만들어졌다고 알려진다. 2018년 현재까지도 제작 및 유포되고 있기 때문에, 이번 보고서에서는 CryptoWire 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

870,912 bytes

 진단명

Ransom/W32.CryptoWire.870912

 악성동작

파일 암호화

 

2-2. 유포 경로

피싱 메일의 첨부파일, 파일 공유 사이트 등 일반적인 형태로 유포되었을 것으로 추정된다. 

 

2-3. 실행 과정

해당 랜섬웨어는 공격자가 설정한 특정 확장자일 경우 암호화를 진행하며 감염된 PC가 원상복구 되는 것을 막고 지속해서 감염을 시도한다. 랜섬 노트에는 암호화된 파일의 개수와 경로가 적혀있으며 ‘C:\Program Files\Common Files’ 경로에 ‘log.txt’를 생성해 암호화된 파일을 기록한다.

 

[그림 1] CryptoWire 랜섬웨어 랜섬노트[그림 1] CryptoWire 랜섬웨어 랜섬노트

 

 

 

 

3. 악성 동작

3-1. 파일 암호화

사용자 PC의 ‘C:\Users\하위경로’ 뿐만 아니라, 내장 디스크, USB 이동식 드라이브, 실시간 동기화가 설정된 클라우드 폴더에 존재하는 파일 중 아래에 해당하는 확장자일 경우 파일 암호화를 진행한다.

 

 

구분 

내용 

암호화 대상 확장자

 zip, 7z, rar, pdf, doc, docx, xls, xlsx, pptx, pub, one, vsdx, accdb, asd, xlsb, mdb, snp, wbk, ppt, psd, ai, odt, ods, odp, odm, odc, odb, docm, wps, xlsm, xlk, pptm, pst, dwg, dxf, dxg, wpd, rtf, wb2, mdf, dbf, pdd, eps, indd, cdr, dng, 3fr, arw, srf, sr2, bay, crw, cr2, dcr, kdc, erf, mef, mrw, nef, nrw, orf, raf, raw, rwl, rw2, r3d, ptx, pef, srw, x3f, der, cer, crt, pem, pfx, p12, p7b, p7c, abw, til, aif, arc, as, asc, asf, ashdisc, asm, asp, aspx, asx, aup, avi, bbb, bdb, bibtex, bkf, bmp, bpn, btd, bz2, c, cdi, himmel, cert, cfm, cgi, cpio, cpp, csr, cue, dds, dem, dmg, dsb, eddx, edoc, eml, emlx, EPS, epub, fdf, ffu, flv, gam, gcode, gho, gpx, gz, h, hbk, hdd, hds, hpp, ics, idml, iff, img, ipd, iso, isz, iwa, j2k, jp2, jpf, jpm, jpx, jsp, jspa, jspx, jst, key, keynote, kml, kmz, lic, lwp, lzma, M3U, M4A, m4v, max, mbox, md2, mdbackup, mddata, mdinfo, mds, mid, mov, mp3, mp4, mpa, mpb, mpeg, mpg, mpj, mpp, msg, mso, nba, nbf, nbi, nbu, nbz, nco, nes, note, nrg, nri, afsnit, ogg, ova, ovf, oxps, p2i, p65, p7, pages, pct, PEM, phtm, phtml, php, php3, php4, php5, phps, phpx, phpxx, pl, plist, pmd, pmx, ppdf, pps, ppsm, ppsx, ps, PSD, pspimage, pvm, qcn, qcow, qcow2, qt, ra, rm, rtf, s, sbf, set, skb, slf, sme, smm, spb, sql, srt, ssc, ssi, stg, stl, svg, swf, sxw, syncdb, tager, tc, tex, tga, thm, tif, tiff, toast, torrent, txt, vbk, vcard, vcd, vcf, vdi, vfs4, vhd, vhdx, vmdk, vob, wbverify, wav, webm, wmb, wpb, WPS, xdw, xlr, XLSX, xz, yuv, zipx, jpg, jpeg, png, bmp

[표 1] 암호화 대상 확장자 목록


 

파일 암호화가 완료된 감염 파일은 확장자 앞에 ‘encrypted’를 덧붙이며, 암호화되지 않은 일부 원본 파일은 영구적으로 삭제한다.

 

[그림 2] 감염된 사용자 파일[그림 2] 감염된 사용자 파일

 

 

3-2. 복구 무력화

“vssadmin.exe” 파일을 실행하여 볼륨 섀도우 복사본을 삭제하고 “bcdedit.exe” 파일을 실행하여 윈도우 복구 모드와 오류 복구 알림 기능을 비활성화해서 사용자가 PC를 감염 이전 상태로 복구하는 것을 막는다. 또한 원본 파일을 복구할 수 없도록 영구 삭제를 한다.

 

명령어

기능

 vssadmin.exe delete shadows /all /Quite

볼륨 쉐도우 복사본 삭제

bcdedit.exe /set {default} recoveryenabled no

윈도우 복구 모드 비활성화

bcdedit /set {default} bootstatuspolicy ignoreallfailures

윈도우 오류 복구 알림 비활성화

[표 2] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

 

 

[그림 3] 영구 삭제[그림 3] 영구 삭제

 

 

3-3. 작업 스케줄러 등록

‘C:\Program Files\Common Files’ 경로에 자가 복제를 한 뒤, 사용자가 재부팅을 하더라도 로그온할 때 해당 랜섬웨어가 자동으로 실행되도록 작업 스케줄러에 등록한다.

 

[그림 4] 자가 복제[그림 4] 자가 복제

 

 

[그림 5] 등록된 예약 작업[그림 5] 등록된 예약 작업

 

 

 

4. 결론

오픈소스 랜섬웨어는 랜섬웨어 원리를 증명 하기위해 교육을 목적으로 제작되지만, 이처럼 악용되어 사용자에게 피해를 줄 수 있다. CryptoWire 랜섬웨어는 USB 이동식 드라이브와 실시간으로 동기화되는 클라우드 서비스 문서까지 암호화하기 때문에 사용자의 주의가 더욱 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 중요한 자료는 별도로 백업하여 보관하는 습관을 들이고 백신 제품을 설치하는 것이 좋다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면