분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Ordinypt 랜섬웨어 분석 보고서

TACHYON & ISARC 2019. 9. 27. 15:35

파일을 파괴하는 Ordinypt 랜섬웨어

 

 


1. 개요 

사용자 PC에 접근하여 파일을 암호화하고 그에 대한 대가를 요구하는 것이 일반적인 랜섬웨어의 특징이다. 
하지만 최근 등장한 Ordinypt 랜섬웨어는 파일에 비정상적인 데이터를 삽입하여 훼손한 뒤, 거짓으로 복구를 약속하며 금전을 요구한다. 이러한 모습의 악성코드는 추후에 지속적으로 등장할 수 있기에 주의가 필요하다.
이번 보고서에서는 Ordinypt 랜섬웨어에 대해서 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.


 

 

2-3. 실행 과정

Ordinpyt 랜섬웨어가 실행되면, 시스템 폴더를 제외한 모든 경로에 있는 파일들의 확장자를 비교하여 삭제 대상의 확장자와 일치할 경우 삭제하고, 해당 경로에 삭제 한 파일과는 무관한 내용의 파일을 생성하여 암호화 된 파일로 가장한다. 그리고 모든 디렉토리 경로 아래에 랜섬노트를 생성하여 사용자에게 감염 된 사실을 알린다.
본 랜섬웨어는 .pdf 문서 파일로 위장하여 제작된 실행파일이다. 
 

[그림 1] Ordinypt 파일

 



 

랜섬노트는 ‘Wo_sind_meine_Dateien.HTML’ 라는 파일명으로 생성되며, 한국어로 번역하면 ‘내 파일은 어디에 있습니까’라는 의미이다. 독일에서 유포되어 랜섬노트 또한, 독일어로 제작되어 있다.

 

[그림 2] 생성된 랜섬노트

 

 

 

 

 

[그림 3] 랜섬노트의 내용

 



3. 악성 동작

3-1. 파일 훼손

사용자의 PC에 접근하여 드라이브의 잔여 용량을 확인하여 사용중인 드라이브를 대상으로 공격을 한다. 그리고 존재하는 파일의 확장자가 훼손 대상인지 확인한 뒤 파일을 삭제하고, 삭제된 파일의 경로에 14자리의 랜덤한 값을 이름으로 임의의 파일을 생성하는 동작을 반복한다.

 

[그림 4] 삭제 및 생성 코드

 


암호화되는 경우 파일의 크기가 유사하거나 더 커지지만 아래의 그림을 보면, Ordinypt이 실행되고 난 뒤에 파일의 크기가 감소한 것을 확인 할 수 있다.

 

[그림 5] 실행 전

 

 

 

 

 

[그림 6] 실행 후


 

 

훼손 대상 파일의 확장자 명은 아래의 표와 같다.

[표 1] 암호 대상 확장자

 



 

시스템에 문제가 되지 않도록 [표 2] 에 해당하는 시스템 폴더에는 접근하지 않는다.

[표 2] 암호 제외 폴더

 



4. 결론

이번 보고서에서 알아 본 Ordinypt Ransomware 는 랜섬웨어인 듯하지만 일반적인 랜섬웨어와는 다르게 파일을 암호화하지 않고 훼손하여 다시는 복구할 수 없도록 한다. 따라서 해당 악성코드에 감염된다면 피해가 클 것으로 예상되므로 주의가 필요하다. 해당 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면