분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]기업을 겨냥한 LockerGoga 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 4. 15. 13:00

기업을 겨냥한 LockerGoga 랜섬웨어 감염 주의

1. 개요

‘LockerGoga’ 랜섬웨어는 불특정 대상이 아닌 기업을 목표로 공격해 주의가 필요하다. 해당 랜섬웨어는 최근 프랑스의 엔지니어링 기업과 노르웨이의 알루미늄 제조사를 공격했으며, 공격당한 제조사의 네트워크 마비와 자동화 공정 일부가 수동으로 처리되는 일이 발생해 공장 운영의 피해와 금전적 손해를 입었다고 알려진다. 이처럼 기업대상 랜섬웨어는 중요 데이터 손실과 운영 마비가 2차 피해로 이어지고, 개인보다 피해규모가 더 크기 때문에 각별한 주의가 필요하다.

 

이번 보고서에는 기업을 대상으로 유포 되는 ‘LockerGoga’ 랜섬웨어에 대해서 알아본다.

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 tgytutrc랜덤숫자.exe
파일크키 1,268,600 byte
진단명 Ransom/W32.LockerGoga.1268600
악성동작 파일 암호화


2-2. 유포 경로

해당 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.


2-3. 실행 과정

‘LockerGoga’ 랜섬웨어는 인자 값에 따라 악성 동작이 달라진다. 인자 값없이 실행되었을 때 자신을 “%TEMP%” 경로로 옮기고 파일명을 ‘tgytutrc랜덤숫자.exe’ 로 변경한다. 그리고 ‘-m’ 인자 값으로 실행되면 관리자 계정의 비밀번호를 변경하고 파일 암호화 후에 강제로 시스템 로그 오프를 시킨다. 마지막으로 ‘-I SM-tgytutrc –s’ 인자 값으로 실행되면 “windows” 폴더를 제외한 모든 경로의 모든 유형의 파일을 암호화한다. 또한 생성된 랜섬노트에는 '당신의 회사(Your Company)'를 지칭하는 단어가 사용된다.

 

[그림 1] ‘LockerGoga’ 랜섬웨어 실행 과정

 

 

[그림 2] ‘LockerGoga’ 랜섬웨어 랜섬노트

 

 


3. 악성 동작

3-1. 관리자 계정 비밀번호 변경

먼저 ‘LockerGoga’ 랜섬웨어가 인자 값없이 실행되면, 명령 프롬프트(CMD)의 move 명령어를 이용해 자신을 “%TEMP%” 경로로 옮기고 파일명을 ‘tgytutrc랜덤숫자.exe’로 변경한다.

 

[그림 3] 랜섬웨어 실행 파일 이동

 

 

[그림 4] ‘tgytutrc랜덤숫자.exe’ 로 변경된 파일명

 

 

그리고 ‘-m’ 인자 값으로 실행되면 관리자 계정의 비밀번호를 ‘HuHuHUHoHo283283@dJD’로 변경하고, 파일 암호화 과정까지 끝난 뒤 시스템을 강제로 로그오프 시킨다.

 

[그림 5] 관리자 계정 비밀번호 변경

 

 

3-2. 파일 암호화

마지막으로 ‘-I SM-tgytutrc –s’ 인자 값으로 실행되면 파일 암호화를 진행한다. 파일 암호화 대상은 “windows” 폴더를 제외한 모든 경로의 모든 파일이며 암호화가 완료된 파일에 ‘.locked’ 확장자를 덧붙인다.

 

[그림 6] 암호화 된 파일

 

 

파일 암호화 과정이 완료되면 변경된 관리자 계정 비밀번호로 시스템이 로그오프 된다.

 

[그림 7] 변경된 관리자 계정 비밀번호

 

 


4. 결론

이번 보고서에서 알아본 ‘LockerGoga’ 랜섬웨어는 기업을 대상으로 유포되어 중요 데이터에 대한 피해뿐만 아니라 운영이 마비되는 사태까지 발생하기 때문에 2차 피해로 이어질 수 있다. 국내에서는 아직 해당 랜섬웨어에 의한 피해가 발견되지 않았지만, 언제 대상이 될지 모르는 만큼 기업에서는 각별한 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능