분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] syrk 랜섬웨어 분석 보고서

TACHYON & ISARC 2019. 8. 20. 15:23

새로이 나타난 syrk 랜섬웨어 

 


1. 개요 

지난 8월 1일 syrk 랜섬웨어가 처음 등장하였다. 해당 랜섬웨어는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어와 동일하지만, 복호화 키를 감염된 사용자 PC내에 저장하는 것으로 보아 현재 개발 단계 중이거나, 제작자의 실수로 보여진다. 하지만, 랜섬웨어의 특성 상 파일 암호화 시 물질적, 금전적 피해가 커지기 때문에 지속적인 주의를 기울일 필요가 있다.

이번 보고서에서는 syrk 랜섬웨어에 대해서 알아보고자 한다.

 

 


2. 분석 정보

2-1. 파일 정보

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.

 

 


2-3. 실행 과정

syrk 랜섬웨어를 실행하면 C:\Users\Public\Documents 의 경로에 3개의 파일을 생성한다. 생성된 파일들은 각각의 동작을 수행한다. 특정 디렉토리에 대해 암호화를 실시하고, Windows Defender를 비활성화하기 위해 레지스트리 설정을 변경한다. 그리고 전파를 위해 이동식 드라이브에 숙주 파일과 유사 동작을 하는 파일을 생성한다. 또한, 복호화에 필요한 비밀번호는 사용자의 PC 내에 특정 경로에 저장되어 있다.


랜섬웨어가 실행되면 아래와 같은 화면을 통해 피해자에게 감염 사실을 알린다.

 

[그림 1] 감염 화면

 

  


숙주 파일을 통해 C:\Users\Public\Documents 아래에 3개의 파일이 생성된다.

 

[그림 2] 생성된 파일

  

 

 


ICMP 통신 연결을 요청하나, 현재는 연결이 불가능한 상태이다.

 

[그림 3] ICMP 통신

 

 


3. 악성 동작

3-1. 레지스트리 등록

레지스트리 편집기를 통해 악성 동작을 감지하지 않도록 Windows Defender의 설정을 변경한다.

 

   [그림 4] Windows Defender 설정

 

 


3-2. 파일 유포

LimeUSB_Csharp.exe 가 실행되면, 이동식 드라이브에 파일을 생성하여 유포한다.

 

[그림 5] LimeUSB_Csharp.exe 의 파일 생성 코드 일부

 

 


생성되는 SydneyForniteHacks 는 LimeUSB_Csharp.exe 파일 생성을 제외하고 숙주 파일과 동일한 동작을 수행한다.

 

[그림 6] 생성되는 SydneyForniteHacks

 

 

 


3-3. 파일 암호화

cgo46ea565sdfse7.exe 는 Powershell을 실행하는 파일을 생성한다. 생성된 2개의 파일은 일부 확장자를 대상으로 암호화를 한다. 복호화 암호를 입력하지 않으면 파일이 삭제된다.
C:\Userprofile\Documents\WindowsPowerShell\Modules\Cipher 의 경로에 생성한다.

 

[그림 7] 생성된 2개의 파일

 

 


생성된 Powershell 파일은 아래의 확장자 명에 대해 파일을 암호화한다.

 

[그림 8] 암호화 대상 및 암호화

 



[그림 9] 암호화 Powershell 파일의 일부

 

 

 


복호화 키를 입력하지 못하고 일정 시간이 지나면 아래의 창이 뜨며, 파일이 삭제된다.

 

[그림 10] 파일 삭제

 

 


복호화하기 위해 임의의 값인 ID와 PW가 함께 생성되며, 피해자 PC의 C:\Users\Default\AppData\Local \Microsoft 아래에 txt 파일에 저장된다. 

[그림 11] 복호화 화면

  

 

[그림 12] 복호화 정보의 파일


  

 

[그림 13] 복호화 아이디와 키


 

 


위의 데이터에 따라 복호화 키를 입력하면 복호화가 실행된다.

 

[그림 14] 복호화 과정

 

 

[그림 15] 복호화 완료


 



4. 결론

이번 보고서에서 알아 본 'Syrk Ransomware'는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어 동작과 동일하지만, 감염 시 파일을 복구할 수 있다는 점에서 피해 규모가 많지 않을 것으로 예상된다. 하지만 추후 변종은 어떠한 형태로 변화가 될지 알 수 없으므로 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림16] TACHYON Internet Security 5.0 랜섬웨어 차단 기능