[랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어

12월 랜섬웨어 동향 및 Stop 랜섬웨어

1. 12월 랜섬웨어 동향

2018년 12월(12월 01일 ~ 12월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 GandCrab 랜섬웨어의 다양한 버전이 등장하여 사용자들에게 피해를 입혔으며, 해외에서는 중국에서 10만대의 PC를 감염시킨 랜섬웨어가 등장하였고, 미국에서는 랜섬웨어 공격으로 인해 정기적인 출판물 배포가 지연되기도 했다.

이번 보고서에서는 12월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 12월 등장한 Stop 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

1-1. 국내/외 랜섬웨어 피해 사례

GandCrab 랜섬웨어 피해 사례

이번 달에는 GandCrab 랜섬웨어가 v5.0.9버전을 시작으로 v5.1.6버전까지 다양한 버전이 등장하였다. 또한 유명 작가를 사칭한 메일 유포 형태와 인터넷 검색을 통한 다운로드 형태 등 다양한 유포 방식을 통해 사용자들을 괴롭혔다. 지속적인 버전업이 예상되므로 사용자들은 주의를 기울일 필요가 있다.
 

[그림 1] GandCrab v5.1.6 감염 후 바탕화면

 

 

중국 UNNAMED1989 랜섬웨어 피해 사례

12월 초, 중국에서 약 4일간 10만대 이상의 PC를 감염시킨 랜섬웨어가 등장했다. 이 랜섬웨어는 UNNAMED1989 랜섬웨어 라고 불리며 암호화 뿐 아니라 정보 탈취의 기능도 있는 것으로 알려졌다. 또한 중국을 대상으로 하며, 암호화 후 WeChat Pay를 통해 랜섬머니를 요구하는 것으로 알려졌다. 그러나 얼마 지나지 않아 이 랜섬웨어 개발자는 중국 공안에 체포되었다.

 

[그림 2] WeChat Pay 지불 화면

 

 

미국 Tribune Publishing 회사 랜섬웨어 피해 사례

12월 말, 미국에서 LA 타임즈, 월스트리트저널 등 정기적인 출판물 배포가 지연되는 일이 발생했다. 정기 출판물의 인쇄와 배포를 담당하는 Tribune Publishing 이라는 회사의 시스템이 랜섬웨어 공격으로 마비 되었기 때문이다. 미국에서는 이 사건에 대해 수사중이며, 현재까지 .ryk인 암호화 확장자를 가진 파일이 발견 되는 등 Ryuk 랜섬웨어로 의심되고 있다. Ryuk랜섬웨어는 지난 8월부터 세계 곳곳의 조직들을 공격하며 수천만 달러의 수익을 거둔 랜섬웨어이다.

 

[그림 3] Ryuk 랜섬웨어 랜섬노트

 

 

1-2. 신종 및 변종 랜섬웨어

Lucky 랜섬웨어

2년 전 처음 등장한 Lucky 랜섬웨어는 윈도우와 리눅스 서버 플랫폼에서 발견된 10가지 취약점들을 통해 퍼질 수 있다고 알려졌다. 주로 서버를 공격대상으로 삼는 해당 랜섬웨어는 Satan 랜섬웨어의 변종이며, 암호화 후 .lucky 확장자를 덧붙인다. 랜섬웨어 공격에 노출되기전에 소프트웨어를 최신버전으로 업그레이드하고 취약점에 대한 패치를 하는 것이 중요하다.

 

[그림 4] Lucky 랜섬웨어 랜섬노트

 

 

Gerber5.0 랜섬웨어

12월 초, 암호화 후 .XY6LR 확장자를 추가하는 Gerber 1.0 랜섬웨어가 발견 된 후 3.0 버전이 연이어 발견 되었다. 또한 며칠 뒤 .gerber5 확장자를 추가하는 5.0버전이 발견 되었다. Gerber 5.0 랜섬웨어는 오프라인 암호화를 진행하며, 암호화가 끝난 뒤 바탕화면을 변경시켜 사용자에게 감염 사실을 알린다. 지속적인 버전업이 예상되므로 주의를 요한다.

 

[그림 5] Gerber 5.0 랜섬웨어 랜섬노트

 

 

Matrix 랜섬웨어

2016년 말 처음 발견된 이 랜섬웨어는 다양한 유포 방식을 통해 최근까지 활동 중 이다. 최근에 발견 된 Matrix 랜섬웨어는 암호화 후 [TRU888QQ.COM].(임의의 문자열).TRU8 확장자를 추가하며 RDP(원격 데스크톱 프로토콜)를 이용한 원격 접속을 통해 유포 된다고 알려져 있어 RDP를 사용하지 않을 때, 올바르게 잠겨 있는지 확인하는 습관이 필요하다.

 

[그림 6] Matrix 랜섬웨어 랜섬노트

 

 

 

 

2. Stop 랜섬웨어 분석보고서

Stop 랜섬웨어는 2018년 9월 인터넷 브라우저를 통한 유포방식으로 등장해서 꾸준히 변종이 등장 해왔다. 최근에 등장한 Stop 랜섬웨어는 암호화를 진행한 후 작업 스케줄러에 5분 단위로 랜섬웨어 재실행을 하도록 등록한다.

 

이번 보고서에서는 최근에 등장한 Stop 랜섬웨어의 동작에 대해 알아보고자 한다.

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	382,464 byte
진단명	Ransom/W32.Stop.382464
악성동작	파일 암호화

 

Stop 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 레지스트리를 등록하여 복제한 랜섬웨어 실행파일을 자동 실행 프로그램으로 등록하고, .djvuu 라는 확장자를 덧붙이며 암호화를 진행한다. 또한 작업스케줄러에 등록하여 5분마다 재실행 되도록 한다.
해당 랜섬웨어는 주로 웹 사이트 접속 시 취약점을 통해 감염되는 것으로 알려졌지만, 아직 정확한 유포경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Stop 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 본격적인 동작을 시작한다. 레지스트리를 등록하여 복제한 랜섬웨어 실행파일을 자동 실행 프로그램으로 등록하고, .djvuu 라는 확장자를 덧붙이며 암호화를 진행한다. 또한 작업스케줄러에 등록하여 5분마다 재실행 되도록 한다.

 

[그림 7] Stop 랜섬웨어 랜섬노트

 

 

3-1. 자가 복제

해당 랜섬웨어가 실행되면 ‘C:\Users\UserName\AppData\Local\(임의의 폴더명)’ 경로에 자기자신을 복제한다.

 

[그림 8] 복제한 파일

 

3-2. 레지스트리 등록

자기 자신을 복제한 파일을 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리에 ‘SysHelper’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
 

[그림 9] 자동 실행 등록

 

 

3-3. 작업 스케줄러 등록

레지스트리 등록 뿐 아니라 작업스케줄러에도 ‘Time Trigger Task’ 라는 이름으로 등록하여 5분마다 랜섬웨어가 실행 되도록 한다.

 

[그림 10] 작업 스케줄러 등록

 

 

3-4. 파일 암호화

해당 랜섬웨어는 문서파일(.doc, .hwp등), 실행파일(.exe)을 포함하여 모든 파일을 암호화 한다. 암호화 한 뒤 [그림 11] 과 .djvuu 확장자를 덧 붙인다. 또한 암호화를 완료한 폴더에 ‘_openme.txt’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 11] 암호화 된 파일

 

 

 

 

 

4. 결론

Stop 랜섬웨어는 지난 9월등장 이후 지속적인 변종이 등장했기 때문에 앞으로도 다른 변종이 발견 될 가능성이 있다. 또한 정확한 유포경로가 불확실한 만큼 평소 PC사용에 있어서 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 12] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

 

[그림 13] TACHYON Internet Security 5.0 랜섬웨어 차단 기능