분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Facebook 통해 접촉 요구하는 Boom 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 1. 15. 10:29

Facebook 통해 접촉 요구하는 Boom 랜섬웨어 감염 주의

1. 개요

최근 Xorist 랜섬웨어의 변종인 Boom 랜섬웨어가 발견되었다. 해당 랜섬웨어는 암호화된 파일을 복호화하기 위해 Facebook을 통해 공격자와 접촉하기를 요구한다. 또한 복호화 시도 도중 실패 시 컴퓨터를 강제로 종료하기 때문에 추가 피해에 주의해야 한다.

이번 보고서에서는 Boom 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

[참고 : Xorist 랜섬웨어 분석 보고서] http://isarc.tachyonlab.com/1942

 

 

 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

280,576 bytes

 진단명

Ransom/W32.DN-Boom.280576

 악성동작

파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


2-3. 실행 과정

Boom 랜섬웨어 실행 시, 먼저 암호화 동작을 수행하는 “Tempsvchost.exe” 파일을 생성한 후 실행한다. “Tempsvchost.exe”은 %Temp% 경로에 자기자신을 복제하고, Run 레지스트리에 해당 파일을 등록하여 재부팅 시 자동으로 실행되도록 설정한다. 이후 시스템을 탐색하며 암호화 대상 파일을 암호화하는 동시에 폴더마다 “HOW TO DECRYPT FILES.txt” 라는 랜섬노트를 생성한다. 모든 작업을 마친 뒤 랜섬노트를 출력하여 피해자가 Facebook을 이용해 공격자와 접촉하도록 유도한다.

 

[그림 1] Boom 랜섬웨어의 WallPape[그림 1] Boom 랜섬웨어의 WallPape

 

 

 

[그림 2] “HOW TO DECRYPT FILES.txt” 파일[그림 2] “HOW TO DECRYPT FILES.txt” 파일

 

 

 

 

 

3. 악성 동작

3-1. 파일 드랍 및 자동 실행 등록

Boom 랜섬웨어는 악성 행위를 실행하는 %LocalAppdata% 경로에 “Tempsvchost.exe” 파일을 생성하고 실행한다. 이후 %Temp% 경로에 “Tempsvchost.exe” 파일을 복제하여 랜덤한 이름으로 생성하고, Run 레지스트리에 해당 파일을 등록하여 재부팅시 자동으로 실행되도록 설정한다.

 

[그림 3] 자동 실행 등록[그림 3] 자동 실행 등록

 

 

3-2. 파일 암호화

Run 레지스트리 수정 이후엔 전체 시스템을 탐색하며 암호화를 진행한다. 탐색한 파일 확장자명이 [표 1]에 해당할 경우 파일을 암호화하고 파일 확장자를 “Boom” 으로 바꾼다. 또한 탐색한 폴더마다 “HOW TO DECRYPT FILES.txt” 이란 랜섬노트를 생성한다.

 

 

구분 

내용 

암호화 대상 확장자

 "zip", "rar", "7z", "tar", "gzip", "jpg", "jpeg", "psd", "cdr", "dwg", "max", "bmp", "gif", "png", "doc", "docx", "xls", "xlsx", "ppt", "pptx", "txt", "pdf", "djvu", "htm", "html", "mdb", "cer", "p12", "pfx", "pwm", "1cd", "md", "mdf", "dbf", "odt", "vob", "ifo", "lnk", "torrent", "mov", "m2v", "3gp", "mpeg", "mpg", "flv", "avi", "mp4", "wmv", "divx", "mkv", "mp3", "wav", "flac", "ape", "wma", "ac3", "exe", "apk"

[표 1] 암호화 대상 확장자 목록

 

3-3. 랜섬노트 출력

마지막으로 암호화 완료 시 파일 복구를 위해 필요한 PIN을 입력하는 윈도우를 출력한다. 이때 “Copy” 버튼을 클릭하거나 잘못된 PIN을 입력하면 강제로 시스템을 종료하기 때문에 주의가 필요하다.

 

[그림 4] 복호화 PIN을 요구하는 윈도우[그림 4] 복호화 PIN을 요구하는 윈도우

 

 

 

[그림 5] 공격자 Facebook 정보 제공 윈도우[그림 5] 공격자 Facebook 정보 제공 윈도우

 

 

 

 

 

4. 결론

Xorist 랜섬웨어는 이전부터 다양한 변종을 만들며 피해를 입혀왔다. 이번에 보고서에서 알아본 Boom 랜섬웨어는 기존의 Xorist 랜섬웨어와 마찬가지로 암호화 기능을 수행하면서, 잘못된 복호화 시도 시 시스템을 강제 종료하기 때문에 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능