분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]키릴문자 'Я' 파일을 생성하는 GEFEST 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 4. 26. 16:59

키릴문자 'Я' 파일을 생성하는 GEFEST 랜섬웨어 감염 주의

1. 개요

GEFEST 랜섬웨어는 수십 여개의 변종으로 발견되는 Scarab 랜섬웨어 계열의 후속 작으로, 발견 시기마다 암호화 파일 확장자의 변화와 일부 변종에서는 암호화 대상 폴더에 키릴문자 'Я'을 이름으로 한 파일을 생성하는 특징을 발견할 수 있다. 이러한 특징은 GEFEST 랜섬웨어에서도 확인할 수 있으며, 해당 랜섬웨어는 최근 암호화 파일 확장자가 새롭게 변화하여 발견되고 있기 때문에 사용자들의 주의가 필요하다.

 

이번 보고서에서는 .GFS 감염 확장자를 사용하는 GEFEST 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 176,128 bytes
진단명 Ransom/W32.GEFEST.368128
악성 동작 파일 암호화


2-2. 유포 경로

정확한 유표 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 사이트를 통해 유포되었을 것으로 추정된다.


2-3. 실행 과정

GEFEST랜섬웨어를 실행하면 원본 파일을 다음 경로 'C:\Users\계정 폴더\AppData\Roaming' 에 파일이름 'wmndf.exe'으로 복사한 뒤 재실행하여 랜섬동작을 수행한다. 파일이 재실행되면 레지스트리 편집기와 작업관리자를 종료 시키며, 파일 복구를 무력화하기 위한 동작을 수행한다. 이후 감염 대상 폴더와 파일을 선별하고, 대상이 되는 파일의 암호화를 진행한다. 마지막으로 랜섬노트를 실행하여 감염 사실과 함께 복호화 방법을 안내한다.

 

[그림 1] GEFEST 랜섬웨어 랜섬노트

 

 


3. 악성 동작

3-1. 자가 복제 및 자동 실행 등록

GEFEST 랜섬웨어가 실행되면 'wmndf.exe' 파일명으로 원본파일을 'C:\Users\계정 폴더\AppData\Roaming'에 복사한다. 복사된 'wmndf.exe' 파일은 독립적으로 실행되며 랜섬동작을 수행한 후 삭제된다. 이후 랜섬노트가 부팅 시 자동실행 되도록 레지스트리에 등록 값을 추가한다.

 

[그림 2] 원본 파일 복사

 

 

[그림 3] 레지스트리 등록

 


3-2. 프로세스 종료 및 복구 무력화

GEFEST 랜섬웨어는 악성동작을 수행하기 전 레지스트리 편집기 (regedit.exe)와 작업관리자 (Taskmgr.exe) 프로세스를 종료시킨다. 이후 정상적인 복구를 불가능하게 하기 위해서 시스템 상태 백업, 볼륨 섀도우 복사본 삭제와 윈도우 복구 모드 비활성화를 실행한다.

 

[그림 4] 복구 무력화 실행

 

 

명령어 기능
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 모든 시스템 상태 백업 삭제
wmic SHADOWCOPY DELETE 볼륨 섀도우 복사본 삭제
vssadmin Delete Shadows /All /Quiet 볼륨 섀도우 복사본 삭제
bcdedit /set {default} recoveryenabled No 윈도우 복구 모드 비활성화
bcdedit /set {default} bootstatuspolicy ignoreallfailures  윈도우 오류 복구 알림 비활성화

[표 1] 시스템 상태, 볼륨 섀도우 복사본 삭제 및 복구 모드 비활성화 기능


3-3. 파일 암호화

GEFEST 랜섬웨어는 암호화 대상을 선별하기 위해 대상 컴퓨터의 디스크 드라이브(Z - A)를 검색하며, 만약 CD-ROM 드라이브라면 대상에서 제외된다. 이후 아래의 [표 2]와 같이 암호화 필수 대상 폴더 명을 디스크 드라이브에서 검색한다. 해당 폴더가 발견되면 내부 파일을 확인하여 암호화하고 랜섬노트를 생성한다.

구분 내용
암호화 필수 폴더 Microsoft\Exchange Server\; Microsoft SQL Server\; Firebird\; MSSQL.1\; Microsoft SQL Server Compact Edition\; Adobe\; Oracle\; Archive; Backup; Reserv; Restore;

[표 2] 암호화 필수 폴더 명

 

 

 

GEFEST 랜섬웨어의 특징으로 암호화 대상 파일을 선별한 뒤 해당 폴더에 Я 파일을 생성하는데, 해당 파일은 유효한 데이터가 존재하지 않으며 파일 암호화 직전 삭제됨을 확인할 수 있다.

 

[그림 5] Я 파일 생성

 

 

암호화 필수 대상 폴더의 파일들을 암호화한 후, 해당 드라이브의 모든 폴더를 검색하여 파일들을 암호화하고 랜섬노트를 생성한다. 마지막으로 랜섬노트를 실행하여 감염 사실과 복구 방법을 안내한다.

 

[그림 6] 암호화 된 파일 목록

 


4. 결론

이번 보고서에서 알아본 GEFEST 랜섬웨어는 피해사례가 많이 알려지지는 않았지만, 최초 발견 이후 수년 간 지속적으로 다양한 변종이 발견되고 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 8] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능