분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]LockCrypt 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 4. 5. 17:10

LockCrypt 랜섬웨어 감염 주의

1. 개요

본 보고서에서 다루게 될 ‘LockCrypt’ 랜섬웨어는 모든 확장자 파일을 암호화하고 암호화한 파일은 ‘id-랜덤 문자열.LyaS’ 라는 문자열을 덧붙여 확장자를 변경한다. 또한, C 드라이브의 Windows 폴더를 제외한 모든 경로에 존재하는 사용자 파일을 대상으로 암호화를 진행하기 때문에 사용자의 주의가 필요하다.

 

이번 보고서에서는 ‘LockCrypt’ 랜섬웨어의 악성 동작에 대해 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 12,288 bytes
진단명 Ransom/W32.LockCrypt.32768
악성동작 파일 암호화


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일의 첨부파일을 통해 유포될 것으로 추정된다.


2-3. 실행 과정

‘LockCrypt’ 랜섬웨어 실행 시, 가장 먼저 자가 복제를 진행하고 재부팅 이후에도 랜섬웨어 실행 파일이 자동으로 실행되도록 등록한다. 또한 화이트 리스트 프로세스 이외의 프로세스는 지속해서 강제 종료시키며 C 드라이브의 “Windows” 폴더를 제외한 모든 경로의 전체 파일을 대상으로 암호화를 진행한다. 암호화 작업이 완료된 이후에는 사용자가 시스템 복구 기능을 이용하지 못하도록 볼륨 섀도우를 삭제하고, 이벤트 로그를 삭제해 흔적을 지운다.

 

[그림 1] 랜섬노트 “How To Restore Files.hta” 파일

 


3. 악성 동작

3-1. 자가 복제 및 자동 실행 등록

본격적인 악성 행위를 시작하기 전, 먼저 ‘LockCrypt’ 랜섬웨어 실행 파일을 “C:\Windows” 경로에 ‘searchfiles.exe’ 이름으로 자가 복제를 하고, C 드라이브에 ‘How To Restore Files.hta’ 랜섬노트 파일을 생성한다.

 

[그림 2] 자가 복제

 

 

그리고 랜섬웨어 실행 파일과 랜섬노트를 재부팅될 때마다 자동 실행되도록 등록한다.

 

[그림 3] 자동 실행 등록

 

3-2. 프로세스 강제 종료

또한 암호화 작업 전, 화이트 리스트 프로세스 이외의 프로세스가 실행 중이라면 강제로 종료되도록 지속해서 감시한다.

구분 내용
화이트 리스트 프로세스 “System”, “smss.exe”, “dllhost.exe”, “svchost.exe”, “csrss.exe”, “Microsoft ActiveDirectory”, “WebServices.exe”, “cmd.exe”, “mstsc.exe”, “find.exe”, “conhost.exe”, “explorer.exe”, “ctfmon.exe”, “lsass.exe”, “services.exe”, “tasklist.exe”, “winlogon.exe”, “wmiprvse.exe”, “msdts.exe”, “bfsvc.exe”, “AdapterTroubleshooter.exe”, “alg.exe”, “dwm.exe”, “issch.exe”, “rundll32.exe”, “spoolsv.exe”, “wininit.exe”, “wmiprvse.exe”, “wudfhost.exe”, “taskmgr.exe”, “rdpclip.exe”, “logonui.exe”, “lsm.exe”, “searchui.exe”, “searchindexer.exe”, “processhacker.exe”, “getpassvord_x64.exe”, “64.exe”, “32.exe”, “mshta.exe”, “fontdrvhost.exe”, “sihost.exe”, “pscan24.exe”, “advanced_port_scanner.exe”, “advanced_port_scanner_console.exe”, “pscan24.exe

[표 1] 화이트 리스트 프로세스


3-3. 파일 암호화

‘LockCrypt’ 랜섬웨어는 “C:\Windows” 경로를 제외한 모든 경로에서 32byte 이상의 크기의 모든 파일을 암호화한다. 암호화된 폴더마다 랜섬노트가 생성되며, 암호화가 완료된 파일은 원본 확장명 뒤에 “id-랜덤 문자열.LyaS”를 덧붙인다.

 

[그림 4] 감염된 파일

 

3-4. 시스템 복원 지점 및 관리 이벤트 로그 삭제

암호화 작업 완료 후 ‘vssadmin.exe’ 을 실행하여 볼륨 섀도우 복사본을 삭제해 시스템 복원 기능을 무력화한다.

 

[그림 5] 시스템 복원 지점 삭제 명령어

 

 

그리고 “c:\windows” 경로에 ‘clerlog.bat’ 배치파일을 생성하고 ‘wevtutil.exe’를 이용해 이벤트 뷰어 로그(응용프로그램,보안, 시스템, setup 등)를 삭제한다.

 

[그림 6] 이벤트 로그 삭제 명령어

 


4. 결론

‘LockCrypt’ 랜섬웨어는 모든 파일을 암호화하여 감염된 PC의 데이터를 사용할 수 없게 만든다. 또한 시스템 복원 기능을 무력화시켜 피해 복구에 어려움을 주고 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면



TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정 – 차단 설정 – 랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 8] TACHYON Internet Security 5.0 랜섬웨어 차단 기능