2월 랜섬웨어 동향 및 Outsider 랜섬웨어 분석보고서

2월 랜섬웨어 동향 및 Outsider 랜섬웨어 분석보고서

1. 2월 랜섬웨어 동향

2019년 2월(2월 01일 ~ 2월 28일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 기업 중앙관리서버를 공격하는 Clop 랜섬웨어가 등장하였다. 해외에서는 대만의 전자제품 제조업체인 D-link사의 제품이 랜섬웨어에 감염되는 사례가 있었고, 미국 플로리다주의 인터넷 서비스 제공업체인 Tallahassee Network사를 대상으로 한 랜섬웨어 공격이 있었다.

이번 보고서에서는 2월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 2월 등장한 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 

1-1. 국내/외 랜섬웨어 피해 사례

Clop 랜섬웨어 피해 사례

2월 초 처음 등장한 Clop 랜섬웨어는 국내를 대상으로 유포 되었으며, 기업에서 사용하는 중앙관리서버에 침투해서 많은 피해를 입혔다. 해당 랜섬웨어는 암호화를 진행할 때 특정 프로세스를 종료 시키며, 암호화 후 .Clop 이라는 확장자 명을 덧붙인다. 또한 최근에는 백신 탐지를 우회하기 위한 것으로 추정 되는 .Ciop 이라는 확장자 명을 사용하는 버전도 발견되었다.

 

[그림 1] Clop 랜섬웨어 랜섬노트

 

 

대만 D-Link 회사 제품 랜섬웨어 피해 사례

2월 말, 대만 회사인 D-Link의 제품을 대상으로 한 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Cr1ptT0r 랜섬웨어 라고 불리며, 인터넷에 노출된 NAS(Network Attached Storage) 장비를 대상으로 감염 시키는 것으로 알려졌다. D-Link 제품 중에 DNS-320이라고 불리는 장비가 랜섬웨어에 감염되면서 알려졌고, D-Link는 해당 제품을 더 이상 판매하지 않고, 서비스도 종료된 것으로 알려졌다. 이 사건이 있고 얼마 후에 D-Link는 해당 제품에 관한 보안 권고 사항에 대해 발표했다.

 

미국 Tallahassee Network 회사 랜섬웨어 피해 사례

2월 말, 미국 플로리다주의 인터넷 서비스 제공업체인 Tallahasse Network 회사가 랜섬웨어 공격을 받아 약 3000 여 개의 고객사가 영향을 받았다고 한다. 정확한 랜섬웨어 종류는 알려지지 않았으며, 회사측은 데이터 복구를 위해 6000달러를 지불했으나 데이터 복구 여부에 대해서는 아직 알려지지 않았다.

 

 

1-2. 신종 및 변종 랜섬웨어

Jigsaw 랜섬웨어

2월 초, Jigsaw 랜섬웨어 변종이 발견 되었다. 해당 랜섬웨어는 암호화 후 .PennyWise 라는 확장자 명을 덧붙이며, [그림 2] 와 같은 랜섬노트를 띄운다. Jigsaw 랜섬웨어는 과거 등장 이후부터 꾸준히 변종이 등장하고 있으므로 주의를 기울일 필요가 있다.

 

[그림 2] Jigsaw 랜섬웨어 랜섬노트
 

 

GarrantyDecrypt 랜섬웨어

2월 중순, GarrantyDecrypt 랜섬웨어의 새로운 변종이 등장했다. GarrantyDecrypt 랜섬웨어는 지난해 말 등장하였으며, 최근 등장한 변종은 암호화 후 .cammora 확장자를 덧붙이며, 아이콘이 마치 타사 백신처럼 위장하고 있다. 피해사례가 꾸준히 알려지고 있어 사용자들은 주의를 요한다.

 

[그림 3] GarrantyDecrypt 랜섬웨어 랜섬노트
 

 

CrazyCrypt 랜섬웨어

2월 말, 발견된 CrazyCrypt 랜섬웨어는 정확한 유포경로는 밝혀지지 않았으며, 과거 등장했던 Stupid 랜섬웨어의 변종으로 알려졌다. 암호화 후 [그림 4] 와 같은 랜섬노트를 띄우며 CrazyCrypt 2.1 이라고 명시 되어 있는 것으로 보아 앞으로 지속적인 버전업이 예상된다.

 [그림 4] CrazyCrypt 랜섬웨어 랜섬노트

 

 

 

2. Outsider 랜섬웨어 분석보고서

2월 중순 경 Outsider 랜섬웨어의 새로운 변종이 등장했다. Outsider 랜섬웨어는 지난해 하반기에 처음 등장하였으며, 최근에 발견된 변종은 오프라인 상태에서 암호화를 진행하며, 특정 언어를 사용하는 PC에 대해서는 암호화를 진행하지 않는다. 또한 암호화를 완료한 후 시스템 복원 지점을 삭제해서 복구를 어렵게 한다.

이번 보고서에서는 최근에 등장한 Outsider 랜섬웨어의 동작에 대해 알아보고자 한다.

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	12,288 byte
진단명	Ransom/W32.Outsider.12288
악성동작	파일 암호화

 

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Outsider 랜섬웨어 실행 시, 시스템 언어를 확인하여 ‘러시아어’ 사용 국가 언어가 설치되었을 경우 악성 행위 없이 종료된다. 또한 현재 실행 중인 프로세스를 탐색하여 특정 프로세스가 실행 중일 경우 해당 프로세스를 종료한다. 이후 시스템을 탐색하여 암호화 대상 파일을 암호화하고, 랜섬노트를 생성한다. 암호화 과정이 완료된 후에는 윈도우 볼륨 섀도우 복사본을 삭제하여 복구를 어렵게 한다.

 

 

[그림 5] Outsider 랜섬웨어 랜섬노트

 

 

 

3. 악성동작

3-1. 시스템 언어 확인

사용자 PC를 탐색하여 아래 [표 1] 에 해당하는 언어를 사용 중일 경우에는 암호화를 진행하지 않고, 그 외 언어에 대해서만 암호화를 진행한다.

구분	내용
암호화 제외 시스템 언어	러시아어(0x419), 카자흐어(0x43f), 벨라루스어(0x423), 우크라이나어(0x422), 타타르어-러시아(0x444)

[표 1] 암호화 제외 시스템 언어 목록

 

 

 

 [그림 6] 시스템 언어 확인

 

3-2. 파일 암호화

[표 2] 에 해당하는 경로에 대해서는 암호화를 진행하지 않는다.

 

구분	내용
암호화 제외 경로	Windows, Program Files, Program Files (x86), $Recycle.bin, System Volume Information

[표 2] 암호화 제외 시스템 언어 목록

 

 

 

암호화 제외 경로를 제외하고 모든 확장자를 대상으로 파일 암호화를 진행하며 암호화 후 .protected 라는 확장자를 덧붙인다. 또한 암호화를 완료 후 ‘HOW_TO_RESTORE_FILES.txt’ 라는 이름의 랜섬노트를 생성한다.

 [그림 7] 암호화 된 파일

 

3-3. 시스템 복원 지점 삭제

암호화 작업 완료 후 ‘vssadmin.exe’ 를 실행하여 볼륨 섀도우 복사본을 삭제하고 시스템 복원 기능을 무력화 한다.

 [그림 8] 볼륨 섀도우 복사본 삭제 코드

 

 

 

4. 결론

Outsider 랜섬웨어는 지난해 하반기 처음 등장해서 아직 피해사례가 많이 알려지지는 않았지만, 꾸준히 변종이 등장하고 있는 만큼 주의를 기울여야 한다. 또한 정확한 유포경로가 불확실한 만큼 평소 PC사용에 있어서 주의를 기울여야 한다.
 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 [그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 [그림 10] TACHYON Internet Security 5.0 랜섬웨어 차단 기능