분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 5. 17. 14:47

견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의

1. 개요

최근 견적 요청서와 관련된 메일을 통해 Sodinokibi 랜섬웨어가 유포되고 있다. 첨부된 압축 파일 내부에는 doc 확장자로 위장한 랜섬웨어 실행 파일이 있으며, 사용자가 문서 파일로 착각해 이를 실행하면 랜섬웨어에 감염된다. 이와 같이 이메일의 첨부파일과 이중확장자를 이용한 방법은 GandCrab 랜섬웨어와 흡사한 특징을 갖고 있기 때문에 사용자의 각별한 주의가 필요하다.

 

이번 보고서에서는 Sodinokibi 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 견적요청.doc.exe
파일크키 667,648 bytes
진단명 Ransom/W32.Sodinokibi
악성 동작 파일 암호화


2-2. 유포 경로

해외 보안업체에 따르면 Sodinokibi 랜섬웨어는 오라클 웹로직 서버에서 발견된 제로데이 취약점(CVE-2019-2725)을 이용해 전파되었던 것으로 알려져 있으며 최근에는 이메일의 첨부파일을 통해 유포되고있다. 아래는 자사에 유포된 Sodinokibi 랜섬웨어가 첨부된 악성 메일의 내용이다.

 

[그림 1] Sodinokibi 랜섬웨어가 첨부된 악성 메일

 

 

악성 메일에 첨부된 압축 파일을 해제하면 내부에 doc 확장자가 보이지만, 실제로는 doc 확장자 뒤에 긴 공백이 들어가 이중 확장자를 가진 “exe 실행 파일”이다. 또한 파일 아이콘도 실제 문서 파일과 같이 위장하고 있기 때문에 더블 클릭 등을 통해 실행되지 않도록 주의가 필요하다.

 

[그림 2] doc로 위장한 Sodinokibi 실행 파일

 


2-3. 실행 과정

Sodinokibi 랜섬웨어가 실행되면 먼저 시스템에 존재하는 모든 폴더 및 파일을 탐색하고, 특정 파일 및 폴더와 확장자를 제외한 파일에 대해 암호화를 진행한다. 암호화가 진행된 폴더에는 랜섬노트와 lock 파일이 생성되며, 감염된 파일의 확장자 뒤에 영문과 숫자로 구성된 랜덤명을 덧붙인다. 또한 바탕화면을 파란색 바탕으로 변경시켜 사용자에게 랜섬웨어 감염사실을 알린다.

 

[그림 3] Sodinokibi 랜섬웨어 감염 시 바탕화면

 

 

[그림 4] 랜섬노트 “영문숫자랜덤명-readme.txt” 파일

 

 

 


3. 악성 동작

3-1. 파일 암호화

Sodinokibi 랜섬웨어는 시스템에 존재하는 모든 폴더 및 파일을 탐색하고, 특정 파일 및 폴더와 확장자를 제외한 파일에 대해 암호화를 진행한다.

 

구분 내용
암호화 제외 폴더 "google", "windows", "appdata", "mozilla", "tor browser", "programdata", "windows.old", "$windows.~bt", "program files (x86)", "msocache", "recycle.bin" "$windows.~ws", "application data","system volume information", "perflogs", "program files", "intel", "boot"
암호화 제외 확장자 "ldf", "scr", "icl", "386", "cmd", "ani", "adv", "theme", "msi", "rtp", "diagcfg", "bin", "hlp", "shs", "nls", "diagcab", "ico", "lock", "ocx", "mpa", "cur", "wpx", "bat", "rom", "msc", "lnk", "cab", "spl", "ps1", "msu", "ics", "key", "msp", "com", "sys", "diagpkg", "deskthemepack", "cpl", "mod", "hta", "exe", "icns", "prf", "dll", "nomedia", "idx", "drv", "themepack", "msstyles"
vssadmin Delete Shadows /All /Quiet암호화 제외 파일 "ntldr", "desktop.ini", "thumbs.db", "ntuser.ini", "bootfont.bin", "boot.ini", "ntuser.dat.log", "iconcache.db", "ntuser.dat","bootsect.bak", "autorun.inf"

[표 1] 암호화 제외 목록

 

 

암호화가 진행된 폴더 마다 랜섬노트와 lock 파일이 생성되어 있으며, 감염된 파일의 확장자 뒤에 영문과 숫자로 구성된 랜덤명을 덧붙인다.

 

[그림 5] 감염된 파일

 


3-2. 복구 무력화

정상적인 복구를 막기 위해 시스템 상태 백업, 볼륨 섀도우 복사본 삭제와 윈도우 복구 모드 비활성화를 실행한다.

 

명령어 기능
vssadmin Delete Shadows /All /Quiet 볼륨 섀도우 복사본 삭제
bcdedit /set {default} recoveryenabled No 윈도우 복구 모드 비활성화
bcdedit /set {default} bootstatuspolicy ignoreallfailures 윈도우 오류 복구 알림 비활성화

[표 2] 볼륨 섀도우 복사본 삭제 및 복구 모드 비활성화 기능


3-3. 결제 유도

또한 랜섬노트에는 결제 유도 사이트의 주소가 기록되어 사용자의 금전을 요구하고 있다.

 

[그림 6] 결제 유도 사이트

 

 

 


4. 결론

최근 유포되는 Sodinokibi 랜섬웨어는 감염 시 파란색 바탕화면으로 변경되는 특징을 갖고있으며, GandCrab 랜섬웨어처럼 이메일 첨부파일 형식으로 감염을 유도하고 확장자에 긴 공백을 추가한 이중 확장자 방식을 사용하고 있기 때문에 이를 주의하면 감염을 예방할 수 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

[그림 8] TACHYON Internet Security 5.0 랜섬웨어 차단 기능