분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]파일 일부분만 암호화하는 Anatova 랜섬웨어 주의

TACHYON & ISARC 2019. 2. 22. 14:44

파일 일부분만 암호화하는 Anatova 랜섬웨어 주의

1. 개요

최근 암호화 대상 파일의 일부분만 암호화하여 빠르게 시스템을 감염시키는 Anatova 랜섬웨어가 발견되었다. 그뿐만 아니라 일반적인 랜섬웨어는 감염 대상 시스템을 늘리기 위해 32비트 포맷으로 작성되는 반면, Anatova 는 64비트 포맷으로 작성되어 악성 코드 실행 속도를 높였다. 시스템 관리자가 미처 대응하기 전에 시스템이 감염되어 버리면 랜섬웨어 피해가 커질 수 있으므로 주의가 필요하다.

 

이번 보고서에서는 Anatova 랜섬웨어의 악성 동작에 대해 알아보고자 한다.


 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

49,664 bytes

 진단명

Ransom/W64.Anatova.49664

 악성동작

파일 암호화

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Anatova 랜섬웨어 실행 시, 시스템 사용자 이름 및 기본 언어 설정을 확인하여 악성 동작 실행 여부를 결정한다. 또한 일부 프로세스를 강제 종료시켜 해당 프로세스와 관련된 파일을 암호화하기 위한 준비 작업을 진행한다. 이후 암호화 대상 제외 테이블을 참조하며 암호화 대상 파일을 선별하고, 대상 파일의 암호화를 진행한다. 암호화 작업이 완료된 이후에는 사용자가 시스템 복구 기능을 이용하지 못하도록 볼륨 섀도우를 삭제하고, 원본 파일을 삭제하여 흔적을 지운다.
 

[그림 1] 랜섬노트 “ANATOVA.TXT” 파일[그림 1] 랜섬노트 “ANATOVA.TXT” 파일

 

 

 

 

 

3. 악성 동작

3-1. 악성 동작 실행 여부 결정

본격적인 악성 행위를 시작하기 전, 먼저 시스템의 기본 언어 설정과 사용자 이름을 확인하여 악성 행위 실행 여부를 결정한다. 만약 감염된 시스템의 기본 언어 설정이 [표 1]에 속해있다면 악성 동작 없이 종료한다.

 

 

구분 

내용 

암호화 제외 시스템 언어
(Windows Locale 16진수 값)

러시아어(0x419), 우크라이나어(0x422), 벨라루스어(0x423), 타지크어(0x428), 아르메니아어(0x42B), 아제리어-라틴문자(0x42C), 조지아어(0x437), 카자흐어(0x43F), 키르기스어(0x440), 투르크멘어(0x442), 우즈베크어-라틴문자(0x443), 타타르어-러시아(0x444), 루마니아어-몰도바(0x818), 러시아어-몰도바(0x819), 아제리어-키릴자모(0x82C), 우즈베크어-키릴자모(0x843), 시리아어(0x45A), 아랍어-시리아(0x2801), 힌디어(0x439), 아랍어-이집트(0xC01), 아랍어-모로코(0x1801), 아랍어-이라크(0x801)

[표 1] 암호화 제외 시스템 언어 목록


 

 

또한 시스템 사용자 이름이 [표 2]와 같아도 악성 동작 없이 프로세스를 종료한다.

 

구분 

내용 

암호화 제외 사용자명

"LaVirulera", "tester", "Tester", "analyst", "Analyst", "lab", "Lab", "malware", "Malware"

[표 2] 암호화 제외 사용자명 목록

 

 

3-2. 프로세스 강제 종료

또한 암호화 작업 전, [표 3]에 속한 프로세스가 실행 중이라면 강제로 종료시킨다. 이는 해당 프로세스와 관련된 파일을 원활하게 암호화하기 위한 작업으로 추정된다.

 

구분 

내용 

강제 종료 대상 프로세스

"msftesql.exe", "sqlagent.exe", "sqlbrowser.exe", "sqlwriter.exe", "oracle.exe", "ocssd.exe", "dbsnmp.exe", "synctime.exe", "agntsvc.exeisqlplussvc.exe", "xfssvccon.exe", "sqlservr.exe", "mydesktopservice.exe", "ocautoupds.exe", "agntsvc.exeagntsvc.exe", "agntsvc.exeencsvc.exe", "firefoxconfig.exe", "tbirdconfig.exe", "mydesktopqos.exe", "ocomm.exe", "mysqld.exe", "mysqld-nt.exe", "mysqld-opt.exe", "dbeng50.exe", "sqbcoreservice.exe", "excel.exe", "infopath.exe", "msaccess.exe", "mspub.exe", "onenote.exe", "outlook.exe", " powerpnt.exe", "steam.exe", "thebat.exe", "thebat64.exe", "thunderbird.exe", "visio.exe", "winword.exe", "wordpad.exe"

[표 3] 강제 종료 대상 프로세스 목록

 

 

 

3-3. 파일 암호화

Anatova 랜섬웨어는 파일의 경로, 확장자, 이름을 [표 4]와 비교하며 파일 암호화 여부를 결정한다.

 

구분 

내용 

암호화 제외 폴더

“Program Files”, “Program Files (x86)”, “Windows”, “ProgramData”, “Tor Browser”, “Local Settings”, “IETldCache”, “Boot”, “All Users”

암호화 제외 확장자

".ani", ".bat", ".cab", ".cmd", ".cpl", ".cur", ".diagcab", ".diagpkg", ".dll", ".drv", ".exe", ".hlp", ".icl", ".icns", ".ico", ".ics", ".idx", ".key", ".ldf", ".lnk", ".mod", ".mpa", ".msc", ".msp", ".msstyles", ".msu", ".ocx", ".prf", ".rom", ".rtp", ".scr", ".shs", ".spl", ".sys", ".theme", ".themepack"

암호화 제외 파일

"bootinit", "desktop.ini", "thumbs.db", "hiberfil.sys", "pagefile.sys", "swapfile.sys", "autorun.inf"

[표 4] 암호화 제외 목록


 

 

 

또한 기본적으로 파일 크기가 1MB 이하인 경우 파일 전체를 암호화하고, 1MB 보다 크면 전체 파일 중 1MB 만큼만 암호화한다. 다른 일반적인 랜섬웨어와는 달리 암호화 후에도 파일 확장자가 변하지 않으며 대신 암호화 후 파일 끝에 암호화 키 관련 데이터 512바이트, 원본 파일 크기 4바이트, Anatova 샘플마다 하드코딩된 고유 값 8바이트가 추가된다. 이 중 암호화 전 파일 크기 4바이트는 암호화 대상 파일이 1MB 보다 크면 생략되며, 파일의 마지막 4바이트는 대상 파일의 암호화 여부를 확인하는 요소로 사용된다.

[그림 2] 암호화 여부 확인하는 고유 값 4바이트[그림 2] 암호화 여부 확인하는 고유 값 4바이트

 

 

3-4. 시스템 복원 지점 삭제

암호화 작업 완료 후 “vssadmin.exe” 을 실행하여 볼륨 섀도우 복사본을 삭제하고 시스템 복원 기능을 무력화한다.


 

[그림 3] 시스템 복원 지점 삭제 명령어[그림 3] 시스템 복원 지점 삭제 명령어

 

 

3-5. 원본 실행 파일 삭제

모든 작업이 완료된 후에는 아래와 같은 명령어를 실행하여 원본 실행 파일을 삭제한다.


 

[그림 4] 원본 실행 파일 삭제 명령어[그림 4] 원본 실행 파일 삭제 명령어

 

 

 

 

4. 결론

앞서 언급했듯이 일반적인 랜섬웨어는 더 많은 시스템과 파일을 감염시키려고 하지만, Anatova는 빠른 감염 속도를 추구하는 모습을 보이고 있다. 랜섬웨어는 조기 탐지와 대응에 따라 피해 규모가 크게 차이나는 만큼 평소 관리자의 보안 정책 설정 및 시스템 모니터링이 중요하다. 
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능