동향 및 악성코드 분석 정보

1월 랜섬웨어 동향 및 RickRoll Locker 랜섬웨어

1월 랜섬웨어 동향 및 RickRoll Locker 랜섬웨어

1. 1월 랜섬웨어 동향

2019년 1월(1월 01일 ~ 1월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 다양한 유포 방식으로 사용자들에게 피해를 입혔으며, 해외에서는 미국 Del Rio 시청의 컴퓨터 일부가 랜섬웨어에 감염 되었고, 프랑스에서는 Altran Technologies 라는 회사가 랜섬웨어 공격으로 네트워크를 통해 유럽 일부 국가에 영향을 준 사건이 있었다.


이번 보고서에서는 1월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 1월 등장한 RickRoll Locker 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 


1-1. 국내/외 랜섬웨어 피해 사례

GandCrab 랜섬웨어 피해 사례

이번 달에는 GandCrab 랜섬웨어가 입사지원서, 출석통지서 사칭 등 다양한 방법으로 유포 되었다. 그 중 출석통지서를 사칭한 GandCrab 랜섬웨어는 기존 유포 방식과는 조금 다르게 [그림 1] 과 같이 압축파일 안에 doc 파일을 위장하여 긴 공백을 넣은 후 exe 파일 형태로 유포 되었다. GandCrab 랜섬웨어는 작년에 이어 올해도 여전히 다양한 유포 방식으로 사용자들을 괴롭히고 있다.

 

[그림 1] 출석통지서를 사칭해서 유포되는 GandCrab 랜섬웨어[그림 1] 출석통지서를 사칭해서 유포되는 GandCrab 랜섬웨어

 

 

미국 Del Rio 시청 랜섬웨어 피해 사례

1월 10일 아침, 미국 Del Rio 시청에서 약 30~40대 정도의 컴퓨터가 랜섬웨어에 감염되었다. 관계자는 랜섬웨어 감염사실을 알아 차린 후, 다른 시스템으로 확산되는 것을 막기 위해 모든 컴퓨터와 인터넷을 끈 후 FBI에 랜섬웨어 감염 사실을 알렸다고 전했으며 공격에 사용 된 랜섬웨어는 아직 알려지지 않았다.

 

 

프랑스 Altran Technologies 회사 랜섬웨어 피해 사례

1월 24일, 프랑스의 컨설팅 회사인 Altran Technologies 는 랜섬웨어의 공격을 받았다. 회사 네트워크를 통해 확산 되어 일부 유럽 국가의 운영에 영향을 준 것으로 알려졌다. 해당 랜섬웨어는 ‘LockerGoga’ 라는 랜섬웨어로 암호화 후 .locked 라는 확장자를 덧붙이며, 주로 .doc, .ppt 등 문서 파일을 대상으로 암호화 한다.

 

[그림 2] LockerGoga 랜섬웨어 랜섬노트[그림 2] LockerGoga 랜섬웨어 랜섬노트

 

 

1-2. 신종 및 변종 랜섬웨어

MindSystemNot 랜섬웨어

1월 초, 특이한 바탕화면 이미지를 사용하는 랜섬웨어가 발견 되었다. 해당 랜섬웨어는 MindSystemNot 랜섬웨어 이며,파일 암호화 후 파일명을 랜덤으로 바꾼 후 .mind 라는 확장자를 덧붙인다. 특이한 점은 암호화 후 랜섬머니 지불에 대한 안내가 따로 없으며 아래 [그림 3] 과 같이 바탕화면을 변경한다.

 

[그림 3] MindSystemNot 랜섬웨어 감염 후 바탕화면 이미지[그림 3] MindSystemNot 랜섬웨어 감염 후 바탕화면 이미지

 

 

 

Anatova 랜섬웨어

1월 중순, Anatova 라고 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 64비트 포맷으로 작성되어 있으며 암호화 대상 파일의 일부분만 암호화 하는 것으로 알려졌다. 암호화 후 파일명이나 확장자명은 따로 변경하지 않으며 랜섬머니로 DASH 코인을 요구하는 것으로 알려졌다.

 

[그림 4] Anatova 랜섬웨어 랜섬노트[그림 4] Anatova 랜섬웨어 랜섬노트

 

 

 

Gorgon 랜섬웨어

1월 말, 발견된 Gorgon 랜섬웨어는 정확한 유포경로는 밝혀지지 않았으며, 암호화 후 [but-decryptor@pm.me] 라는 확장자를 덧붙인다. 또한 암호화 후 바탕화면을 변경시키며 영어, 중국어, 한국어로 된 Gorgon이라는 랜섬노트를 띄워 사용자에게 지불을 요구한다.

 

[그림 5] Gorgon 랜섬웨어 랜섬노트[그림 5] Gorgon 랜섬웨어 랜섬노트

 

 

 

 

 

2. RickRoll Locker 랜섬웨어 분석보고서

1월 중순 경 발견된 RickRoll Locker 랜섬웨어는 지난해 6월 등장한 Aurora 랜섬웨어의 변종으로 보인다. 오프라인 상태에서 암호화를 진행하며 암호화 후에 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

이번 보고서에서는 최근에 등장한 RickRoll Locker 랜섬웨어의 동작에 대해 알아보고자 한다.

2-1. 파일 정보

구분 

내용 

 파일명

 [임의의 파일명].exe

파일크기

395,776 byte

 진단명

Ransom/W32.RickRollLocker.395776

 악성동작

 파일 암호화

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Rickroll Locker 랜섬웨어 실행 시, 대상이 되는 파일을 찾아 암호화를 진행하며 암호화된 파일의 확장자에 .cryptoid 를 덧붙인다. 또한 레지스트리를 등록하여 랜섬웨어를 재부팅 후에도 실행되도록 한다. 암호화 동작이 끝나고 나면 랜섬노트를 통해 복호화 방법을 안내한다.

 

[그림 6] RickRoll Locker 랜섬웨어 랜섬노트[그림 6] RickRoll Locker 랜섬웨어 랜섬노트


 

3-1. 파일 암호화

사용자 PC를 탐색하여 아래 [표 1] 에 해당하는 파일에 대해서 암호화를 진행한다.

 

구분 

내용 

 암호화

대상 확장자

.jnt .1CD .dt .cf .1c .doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123

.wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt
.xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm .ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx
.sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso

.vcd .bmp .png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv

.3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp

.php .jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .pas .cpp .cs .suo .sln .ldf .mdf

.ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm

.otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw

.ott .odt .pem .p12 .csr .crt .der .one .accdr .accdt .config .info .cad .py .lua .lzh .lzma .svg .cdr

.cdr3 .cdr4 .cdr5 .m4a .ddb .ckt .lib .pcb .lbr .dsn .olb .dbc .bxl .alg .csa .cpa .pcbdoc .schdoc

.gbr .gbx .art .ipc .drl .dxf .tcf .gto .dra .gbl .gtl .gtp .opj .gbo .gwk .gml .ewprj .dru .pho .gbp

.edf .pro .kicad .rou .cwz .lia .phj .fpd .gts .gp1 .g1 .gp2 .g2 .g3 .gp3 .g4 .gp4 .gbs .gbo .gko

.gpt .gpb .dat .schlib .pdblib .prjpcb .dsnwrk .prjcor .prjemb .libprj .reu .ppc .cam .jrl .pad

.psm .bsm .lmc .prj .pdb .lgc .cel .lyt .psk .cpa .grb .pc

[표 1] 암호화 대상 확장자

 

 

 

 

암호화를 진행한 후 아래 [그림 7] 과 같이 .cryptoid 확장자를 덧붙이며 ‘CRYPTOID_BLOCKED.txt’, ‘CRYPTOID_HELP.txt’, ‘CRYPTOID_MESSAGE.txt’ 라는 이름을 가진 3가지 랜섬노트를 생성한다.


[그림 7] 암호화 된 파일[그림 7] 암호화 된 파일

 

 

3-2. 레지스트리 등록

암호화 진행 후에 자기 자신을 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리에 ‘MSFEEditor’ 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 8] 자동 실행 등록[그림 8] 자동 실행 등록

 

 

 

 

4. 결론

RickRoll Locker 랜섬웨어는 아직 피해사례가 알려지지는 않았지만, Aurora 랜섬웨어의 변종으로 보이는 만큼 지속적인 변종이 나타날 가능성이 있으므로 주의를 기울여야 한다. 또한 정확한 유포경로가 불확실한 만큼 평소 PC사용에 있어서 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 10] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 10] TACHYON Internet Security 5.0 랜섬웨어 차단 기능

 

댓글

댓글쓰기