분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Gorgon 랜섬웨어 주의

TACHYON & ISARC 2019. 3. 6. 17:59

 

Gorgon 랜섬웨어 주의

1. 개요

최근 중국에서 유포되고 있는 Gorgon 랜섬웨어는 한국어, 중국어, 영어 3가지 언어를 지원한다. Gorgon 랜섬웨어의 Gorgon(고르곤) 뜻은 뱀으로 된 머리카락을 갖고있는 메두사를 뜻하며 Gorgon 랜섬노트 팝업창에도 상징적인 메두사 이미지가 나타나있다.


이번 보고서에서는 “Gorgon 랜섬웨어”에 대하여 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

166,912 bytes

 진단명

Ransom/W32.DN-Gorgon.166912

 악성동작

파일 암호화

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다.


 

2-3. 실행 과정

Gorgon 랜섬웨어가 실행되면 사용자 PC의 특정 경로를 대상으로 파일 암호화를 진행하고, 파일 암호화가 완료되면 파일명에 ‘.[buy-decryptor@pm.me]’ 확장자를 덧붙인다. 그리고 한국어, 중국어 및 영어를 지원하는 Gorgon 랜섬노트 팝업창과 ‘#내 파일 복구하기#.HTML’, ‘#解密我的文件#.HTML’, ‘#解密我的文件#.HTML’ 랜섬노트를 사용자에게 띄운다.
 

 

[그림 1] Gorgon 랜섬노트 팝업창[그림 1] Gorgon 랜섬노트 팝업창

 

 

 [그림2] Gorgon 랜섬노트[그림2] Gorgon 랜섬노트


 

 

 

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 바탕화면, ‘C:\Users\’, ‘C:\ProgramData’ 등 특정 폴더를 검색하고 암호화할 파일들을 식별한다.


 [그림 3] 파일 암호화 대상 경로[그림 3] 파일 암호화 대상 경로

 

 

 

 

앞서 설명한 경로에서 아래에 해당하는 확장자를 대상으로 암호화를 진행한다.

 

 

구분 

내용 

암호화 대상
확장자

".gif",".apk",".groups",".hdd",".hpp",".log",".m2ts",".m4p",".mkv",".mpeg",".epub",".yuv",".ndf",".nvram",

".ogg",".ost",".pab",".pdb",".pif",".png",".qed",".qcow",".otp",".s3db",".qcow2",".rvt",".st7",".stm",".vbox",

".vdi",".vhd",".vhdx",".vmdk",".vmsd",".psafe3",".vmx",".vmxf",".3fr",".3pr",".ab4",".accde",".accdr",".accdt",

".ach",".acr",".sd0",".sxw",".adb",".advertisements",".agdl",".ait",".apj",".asm",".awg",".back",".backup",".sti",

".oil",".backupdb",".bay",".bdb",".bgt",".bik",".bpw",".cdr3",".cdr4",".cdr5",".cdr6",".ycbcra",".cdrw",".ce1",

".ce2",".cib",".craw",".crw",".csh",".csl",".db_journal",".dc2",".pptm",".dcs",".ddoc",".ddrw",".der",".des",

".dgc",".djvu",".dng",".drf",".dxg",".eml",".ppt",".erbsql",".erf",".exf",".ffd",".fh",".fhd",".flp",".gray",".grey",

".gry",".hbk",".ibd",".7z",".ibz",".iiq",".incpas",".jpe",".kc2",".kdbx",".kdc",".kpdx",".ldf",".lua",".mdc",".mdf",

".mef",".config",".mfw",".mmw",".mny",".mrw",".myd",".ndd",".nef",".nk2",".nop",".nrw",".ns2",".ns3",".ldf",

".ns4",".nwb",".nx2",".nxl",".nyf",".odb",".odf",".odg",".odm",".orf",".otg",".oth",".py",".ots",".ott",".p12",

".p7b",".p7c",".pdd",".pem",".plus_muhd",".plc",".pot",".pptx",".py",".qba",".qbr",".qbw",".qbx",".qby",".raf",

".rat",".raw",".rdb",".rwl",".rwz",".conf",".sda",".sdf",".sqlite",".sqlite3",".sqlitedb",".sr2",".srf",".srw",".st5",

".st8",".std",".stx",".sxd",".sxg",".sxi",".sxm",".tex",".wallet",".wb2",".wpd",".x11",".x3f",".xis",".ARC",

".contact",".dbx",".doc",".docx",".jnt",".jpg",".msg",".oab",".ods",".pdf",".pps",".ppsm",".prf",".pst",".rar",

".rtf",".txt",".wab",".xls",".xlsx",".xml",".zip",".1cd",".3ds",".3g2",".7zip",".accdb",".aoi",".asf",".asp",".aspx",

".asx",".avi",".bak",".cer",".cfg",".class",".cs",".css",".csv",".db",".dds",".dwg",".dxf",".flf",".flv",".html",".idx",

".js",".key",".kwm",".laccdb",".lit",".m3u",".mbx",".md",".mdf",".mid",".mlb",".mov",".mp3",".mp4",".mpg",

".obj",".odt",".pages",".php",".psd",".pwm",".rm",".safe",".sav",".save",".sql",".srt",".swf",".thm",".vob",".wav",

".wma",".wmv",".xlsb",".3dm",".aac",".ai",".arw",".c",".cdr",".cls",".cpi",".cpp",".cs",".db3",".docm",".dot",

".dotm",".dotx",".drw",".dxb",".eps",".fla",".flac",".fxg",".java",".m",".m4v",".max",".mdb",".pcd",".pct",".pl",

".potm",".potx",".ppam",".ppsm",".ppsx",".pptm",".ps",".r3d",".rw2",".sldm",".sldx",".svg",".tga",".wps",".xla",

".xlam",".xlm",".xlr",".xlsm",".xlt",".xltm",".xltx",".xlw",".act",".adp",".al",".dip",".docb",".frm",".gpg",".lay",

".lay6",".m4u",".mml",".myi",".onetoc2",".PAQ",".ps1",".sch",".slk",".snt",".suo",".tgz",".tif",".tiff",".txt",

".uop",".uot",".vcd",".wk1",".wks",".xlc"

[표 1] 암호화 대상 확장자


 

 

 

파일 암호화가 완료되면, 원본 파일 확장자에 ‘.[buy-decryptor@pm.me]’ 확장자를 덧붙인다. 그리고 한국어, 중국어, 영어로 작성된 html 랜섬노트를 바탕화면과 C드라이브에 생성 후, 바탕화면을 변경한다.

 


 [그림 4] 감염된 사용자 파일[그림 4] 감염된 사용자 파일

 

 


 

 [그림 5] 변경된 바탕화면 [그림 5] 변경된 바탕화면

 

3-2. 시스템 복원 지점 삭제

감염된 사용자가 PC를 감염 이전으로 되돌리는 것을 막기위해 볼륨 쉐도우 복사본을 삭제한다. 

 

[그림 6] 시스템 복원 지점 삭제 실행[그림 6] 시스템 복원 지점 삭제 실행

 

 

3-3. 감염 사실 통보

윈도우 로그온 메세지에도 랜섬노트의 내용을 남긴다. 
 

[그림 7] 로그온시 랜섬노트 메시지[그림 7] 로그온시 랜섬노트 메시지

 

 

 

 

[그림 8] 로그온 메시지 설정 코드[그림 8] 로그온 메시지 설정 코드

 

 

 

 

4. 결론

이번 보고서에서 알아본 “Gorgon” 랜섬웨어는 일반적인 형태의 랜섬웨어 이지만, 한국어를 지원한다는 특징을 갖고있다. 또한 지난 2018년 11월경에 유포된 FilesLocker 랜섬웨어와 유사하다고 알려지기 때문에 사용자의 지속적인 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 [그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면