보안 로그까지 삭제하는 PyCrypter감염 주의
1. 개요
최근 Python 모듈을 사용하는 PyCrypter 랜섬웨어가 발견되었다. 해당 랜섬웨어는 6월에 발견된 SystemCrypter 랜섬웨어의 계통으로 알려져 있으며, 감염 시 파일 암호화 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업을 불가능하게 만들기 때문에 주의가 필요하다.
이번 보고서에서는 PyCrypter 랜섬웨어에 대해 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
2-2. 유포 경로
해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.
2-3. 실행 과정
"PyCrypter 랜섬웨어" 는 실행 시, 악성 행위에 사용되는 다수의 Python 모듈을 드랍 후 '작업관리자' 레지스트리를 비활성화하여 정상적인 시스템 사용을 방해한다. 그 후 윈도우 부팅시 마다 자동 실행되도록 PyCrypter 실행 파일을 레지스트리에 등록하며. 암호화 대상을 선별하고 파일암호화 동작을 수행한다. 또한 정상적인 복구를 방해하기 위해 볼륨섀도우 복사본 삭제와 보안이벤트 로그를 지속적으로 삭제하며, 랜섬웨어 감염 사실을 사용자에게 알린다.
3. 악성 동작
3-1. Python 모듈 드랍
파일 암호화를 수행하기 전, 현재 실행 중인 악성 프로세스의 환경 변수 중 '_MEIPASS2'의 존재여부를 확인한다. 해당 변수를 전달받지 못했다면 '%Temp%' 경로에 'MEI+5자리 숫자'로 시작하는 무작위 폴더를 생성하고 악성 행위에 사용되는 Python 모듈을 드랍 한다.
이후 _MEIPASS2 변수에 Python 모듈을 드랍한 폴더 경로를 입력하고 프로세스를 다시 시작한다.
3-2. 작업관리자 비활성화
해당 환경변수를 정상적으로 전달받아 프로세스를 다시 시작하면 악성 행위가 시작된다. 먼저 윈도우 시스템 정책과 관련된 레지스트리를 수정하여 작업관리자를 정상적으로 사용하지 못하게 한다.
3-3. 자동 실행 등록
PyCrypter 랜섬웨어 실행 파일을 윈도우 부팅 시 마다 자동실행되도록 레지스트리에 등록한다.
3-4. 파일 암호화
다음으로 아래 [표 1]의 확장자를 대상으로 파일암호화를 진행하며, 암호화된 파일의 확장자로 [그림 6]과 같이 .locked 확장자명을 덧붙인다.
3-5. 복구 무력화
마지막으로 정상적인 복구를 방해하기 위해 [그림 7]과 같이 윈도우 예약 작업으로 볼륨 섀도우 복사본을 삭제한다.
또한, 악성행위가 진행되는 동안 PyCrypter 랜섬웨어는 wevtutil를 이용하여 보안이벤트 로그를 지속적으로 삭제한다.
4. 결론
이번 보고서에서 알아본 PyCrypter 랜섬웨어는 악성파일을 실행시킬 경우 작업관리자의 실행이 불가능하며 파일암호화를 중지시키기 어려워 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] Mike 랜섬웨어 분석 (0) | 2019.10.31 |
|---|---|
| [랜섬웨어 분석] lostfile 랜섬웨어 분석 (0) | 2019.10.18 |
| [랜섬웨어 분석] Ordinypt 랜섬웨어 분석 보고서 (0) | 2019.09.27 |
| [랜섬웨어 분석] TFlower 랜섬웨어 분석 보고서 (0) | 2019.09.25 |
| [랜섬웨어 분석] Is 랜섬웨어 분석 보고서 (0) | 2019.09.18 |