동향 리포트/월간 동향 리포트

7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서

TACHYON & ISARC 2019. 8. 26. 10:56

7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서

 

 


1. 7월 랜섬웨어 동향

2019년 7월(7월 01일 ~ 7월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Sodinokibi 랜섬웨어가 공정거래위원회를 사칭하여 첨부파일을 포함한 메일로 유포 되었다. 해외에서는 미국 워싱턴에 있는 NorthWest Indian College(NWIC)가 랜섬웨어 공격을 받아 시스템 및 데이터에 피해를 봤으며, 또한 미국의 클라우드 컴퓨팅 제공업체인 iNSYNQ사가 랜섬웨어 피해를 입은 사건이 있었다.
이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 Phobos 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 



1-1. 국내/외 랜섬웨어 소식

Sodinokibi 랜섬웨어 유포 사례

 

7월 초, 국내 사용자를 대상으로 Sodinokibi 랜섬웨어가 유포되었다. 해당 랜섬웨어는 공정거래위원회를 사칭하여 첨부파일을 포함한 메일 형태로 유포되었고, 첨부파일에는 pdf파일로 위장한 exe파일 형태의 랜섬웨어가 포함되어 있었다. 한편, Sodinokibi 랜섬웨어는 4월말 처음 발견되어 현재까지 꾸준히 발견되고 있기 때문에 사용자들은 지속적인 관심을 갖고 주의해야 한다.

 

[그림 1] Sodinokibi 랜섬웨어 감염 후 바탕화면

 

 

 

미국 Northwest Indian College 랜섬웨어 피해 사례 


7월 초, 미국 워싱턴에 위치한 Northwest Indian College (NWIC) 가 랜섬웨어 공격을 받았다. 해당 공격으로 학교 시스템 및 데이터 등 피해를 입었지만, 학교측은 공지사항을 통해 빠르게 복구하기 위해 노력할 것이며, 수업에는 지장이 없을 것이라고 알렸다. 공격에 쓰인 랜섬웨어는 Ryuk 랜섬웨어로 알려졌으며, 정확한 유포 경로는 알려지지 않았다.

 

[그림 2] Ryuk 랜섬웨어 랜섬노트

 

 

 

미국 iNSYNQ, 랜섬웨어 피해 사례 

 

7월 중순, 미국 워싱턴에 위치한 클라우드 컴퓨팅 제공 업체인 iNSYNQ가 랜섬웨어 공격을 받았다. 공격을 받은 후 약 1주일 가량 서비스를 중단하여 고객사들 또한 큰 피해를 입었다. iNSYNQ는 시스템 복구 이후 블로그를 통해 해당 랜섬웨어는 MegaCortex 랜섬웨어 이며, 아직 피해를 완전히 복구한 것은 아니기 때문에 순차적으로 고객사에 서비스를 제공하겠다고 밝혔다.

 

[그림 3] MegaCortex 랜섬웨어 랜섬노트

 

 

 

1-2. 신종 및 변종 랜섬웨어

 

ERIS 랜섬웨어

 

7월 초 발견된 ERIS 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 알려졌다. 따라서, 사용자들이 웹사이트를 방문하는 것만으로도 랜섬웨어가 다운로드 되어 사용자PC가 감염 될 수 있다. 해당 랜섬웨어에 감염되면 암호화 대상 파일의 확장자에 .ERIS 확장자를 추가하며 암호화를 진행한다. 암호화 후에 [그림 4]와 같은 랜섬노트를 통해 복호화 방법을 안내한다.

 

[그림 4] ERIS 랜섬웨어 랜섬노트

 

 

 

CROWN 랜섬웨어

 

7월 초 발견된 Crown 랜섬웨어는 아직 정확한 유포 경로는 알려지지 않았다. 랜섬웨어가 실행되면 암호화 동작 후에 .CROWN 이라는 확장자를 추가하며, [그림 5]과 같은 랜섬노트를 통해 사용자에게 48시간 내에 연락을 취할 것을 요구한다. 아직 구체적인 피해사례가 알려지진 않았지만, 최근 유포되고 있는 랜섬웨어인 만큼 사용자들의 주의를 요한다.

 

[그림 5] Crown 랜섬웨어 랜섬노트

 



Maoloa 랜섬웨어

 

7월 중순, Maoloa 랜섬웨어의 변종이 발견됐다. 기존 2월에 처음 발견되었던 Maoloa 랜섬웨어와 비교해서 암호화 확장자가 .Maoloa 에서 .Perephone666으로 변경되었다. 아직 유포 경로나 피해사례는 알려지지 않았으며, 해당 변종 외에도 추가적인 변종이 더 발견되고 있으므로 사용자들은 항상 주의를 기울일 필요가 있다.

 

[그림 6] Maoloa 랜섬웨어 감염 후 바탕화면

 

 

2. Phobos 랜섬웨어 분석보고서

7월에 발견된 Phobos 랜섬웨어는 기존에 있던 Dharma 랜섬웨어의 변종으로 보여진다. 또한 암호화 확장자를 달리한 변종들이 많이 발견되고 있다. 아직 정확한 유포 경로는 알려지지 않았으나, 다수의 변종이 출현한 만큼 지속적인 관심을 갖고 주의를 기울일 필요가 있다.
이번 보고서에서는 최근에 등장한 Phobos 랜섬웨어에 대해 알아보고자 한다.

 

 

 

2-1. 파일 정보

 



2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

 


2-3. 실행 과정

Phobos 랜섬웨어가 실행되면 특정 경로에 자기 자신을 복제하고, 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 한다. 또한 현재 실행 중인 프로세스를 탐색하여 특정 프로세스가 실행 중일 경우 해당 프로세스를 종료한다. 이후 암호화 대상이 되는 파일을 암호화 하고 [그림 7] 과 같이 랜섬노트를 띄워 복호화 방법을 안내한다.

 

[그림 7] Phobos 랜섬웨어 랜섬노트

 

 

 

3. 악성 동작

3-1. 파일복제 및 레지스트리 등록

해당 랜섬웨어가 실행되면 특정 경로 3곳에 자기 자신을 복제한다. 해당 경로는 아래와 같다.


‘C:\Users\[사용자명]\AppData\Local’
‘C:\Users\[사용자명]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup’
‘C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

 

[그림 8] 특정 경로에 파일 복제

 

 

 

복제된 파일을 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다. 해당 레지스트리는 아래와 같다.


‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’
‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run’
‘HKEY_USERS\[사용자보안식별자]\Software\Microsoft\Windows\CurrentVersion\Run’

 

[그림 9] 레지스트리 등록

 

 


3-2. 프로세스 종료

현재 실행 중인 프로세스를 탐색하여 아래 [표 1] 과 같은 목록의 프로세스 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀 더 수월하게 진행하기 위한 동작으로 보여진다.

 

[표 1] 종료 대상 프로세스

 

 

 

3-3. 파일 암호화

프로세스 종료 후에 아래 [표 2] 에 해당하는 암호화 조건에 맞는 파일을 선별한 뒤 암호화를 진행 한다.

 

[표 2] 암호화 조건



 

암호화 조건에 맞는 파일을 찾아 암호화를 진행한 후 아래 [그림 10] 과 같이 ‘.id[사용자ID].[lockhelp@qq.com].acute’ 확장자를 덧붙인다.

 

[그림 10] 암호화 된 파일

 

 

4. 결론

Phobos 랜섬웨어는 7월에 다양한 변종이 많이 등장 하였다. 아직 정확한 유포 경로가 알려지지 않았고, 앞으로도 다양한 변종이 등장할 가능성이 있기 때문에 사용자들은 평소 PC 사용에 있어서 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 11] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 12] TACHYON Internet Security 5.0 랜섬웨어 차단 기능