동향 리포트/월간 동향 리포트

09월 랜섬웨어 동향 및 WannaCash 랜섬웨어 분석보고서

TACHYON & ISARC 2019. 10. 8. 10:51

1. 9월 랜섬웨어 동향

2019년 9월(9월 01일 ~ 9월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 입사지원서를 위장한 스팸 메일 형태로 다수 유포되었다. 해외에서는 미국 라디오 방송사인 Entercom이 랜섬웨어 공격을 받았으며, 미국 Campbell County의 메모리얼 병원 또한 랜섬웨어 공격을 받은 사건이 있었다.
이번 보고서에서는 9월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 9월 등장한 WannaCash 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.


1-1. 국내/외 랜섬웨어 소식

Nemty 랜섬웨어 유포 사례

8월 말 등장했던 Nemty 랜섬웨어가 9월에 본격적으로 국내 사용자를 대상으로 유포되었다. 입사지원서를 위장한 스팸메일 형태로 첨부파일을 포함하고 있으며, 해당 첨부파일 안에는 문서 파일을 가장한 실행파일 ‘(문서명).pdf(긴공백).exe’ 형태의 이중 확장자 파일을 포함하고 있다. 해당 파일을 실행시킬 경우 Nemty 랜섬웨어에 감염된다.
보다 자세한 내용은 기존 잉카인터넷 공식 블로그에서 분석한 분석보고서를 참고 할 수 있다.
참고: 8월 랜섬웨어 동향 및 Nemty 랜섬웨어 분석보고서 : https://isarc.tachyonlab.com/2521
 

[그림 1] Nemty 랜섬웨어 랜섬노트



 

미국 라디오 방송사 Entercom, 랜섬웨어 피해 사례

9월 초, 미국의 거대 라디오 방송사인 Entercom이 랜섬웨어 공격을 받았다. 이메일 시스템을 비롯하여 내부 디지털 시스템이 마비되어 큰 피해를 입은 것으로 알려졌다. 랜섬웨어 공격자는 복호화 비용으로 50만 달러를 요구한 것으로 알려졌으며, Entercom 측은 랜섬머니를 지불하지 않을 것이라고 알렸다. 현재 랜섬웨어 종류나 데이터 복구 상황에 대해서는 알려지지 않았다.

 

미국 Campbell County 메모리얼 병원, 랜섬웨어 피해 사례

9월 20일, 미국 Campbell County의 메모리얼 병원이 랜섬웨어 공격을 받았다. 해당 공격으로 인해 병원 측은 예정되어있던 수술을 취소해야 했고, 환자들을 진료하는데 있어서도 큰 차질을 빚었다. 해당 사건에 대해 아직 랜섬웨어 종류나 유포 경로에 대해서는 알려지지 않았고, 병원의 데이터 또한 완벽히 복구되지 않은 것으로 알려졌다.


 

1-2. 신종 및 변종 랜섬웨어

HildaCrypt 랜섬웨어

9월 발견된 HildaCrypt 랜섬웨어는 애니메이션을 모티브로 한 GlobeImposter 랜섬웨어의 변종으로 보인다. 초기 발견된 버전은 캐릭터모양의 아이콘을 하고 있고 암호화 후 ‘HILDA!’ 확장자를 추가하며 v1.0으로 명시되어 있었다. 그러나 9월에 발견된 버전은 암호화 후 ‘HCY’ 확장자를 추가하며 v1.1이라고 명시되어 있는 변종이 발견되었다. 추가적인 변종이 발견될 가능성이 있으므로 주의를 기울일 필요가 있다.
 

[그림 2] HildaCrypt 랜섬웨어 랜섬노트




Hermes837 랜섬웨어

9월 발견된 Hermes837 랜섬웨어는 파일을 암호화 후 ‘.hermes837’ 이라는 확장자를 덧붙이며, [그림 3]과 같은 랜섬노트를 띄운다. 랜섬웨어 명이나 랜섬노트 메일주소에 Hermes 라는 이름을 사용하였으나, 2017년과 2018년에 활동하던 Hermes 랜섬웨어 와는 공통되는 점이나 연관성은 없어 보인다. 정확한 유포 경로가 밝혀지지 않은 만큼 사용자들은 PC 사용에 있어 주의 해야 한다.

 

 

[그림 3] Hermes837 랜섬웨어 랜섬노트




Go 랜섬웨어

9월 말 발견된 Go 랜섬웨어는 암호화 후 ‘.gore’ 라는 확장자 명을 덧붙인다. 또한 [그림 4] 와 같이 ‘GoRansom.txt’ 라는 이름의 랜섬노트를 사용하여 복호화 방법을 안내한다. ‘txt, rtf, png, jpg’등 주로 문서파일이나 사진파일을 암호화 대상으로 하는 것으로 알려졌다. 아직 구체적인 피해사례가 밝혀지지 않았지만, 최근에 발견된 랜섬웨어 이므로 사용자들은 항상 주의를 요한다.
 

 

[그림 4] Go 랜섬웨어 랜섬노트


 

2. WannaCash 랜섬웨어 분석보고서

9월에 발견된 WannaCash 랜섬웨어는 지난해 처음 발견되어 현재까지 변종이 등장하고 있다. 최근에 등장한 WannaCash 랜섬웨어는 주로 러시아 사용자를 대상으로 하는 것으로 알려져, 암호화된 파일이나 랜섬노트 또한 러시아어로 작성되어 있다. 아직 정확한 유포 경로나 피해사례가 알려지진 않았지만, 계속해서 변종이 등장하고 있으므로 사용자들은 주의해야 한다.
이번 보고서에서는 최근에 등장한 WannaCash 랜섬웨어에 대해 알아보고자 한다.


2-1. 파일 정보

 


2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

WannaCash 랜섬웨어가 실행되면 특정 경로에 암호화에 사용한 공개키와 배치파일을 생성한다. 또한 암호화 대상이 되는 파일을 찾아 암호화를 진행한 뒤 랜섬노트를 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 한다. 암호화 동작 완료 후엔 아래 [그림 5] 와 같이 랜섬노트를 띄워 복호화를 안내한다. 해당 내용은 러시아어로 복호화를 위한 안내를 하고 있다.
 

 

[그림 5] WannaCash 랜섬웨어 랜섬노트




3. 악성 동작

3-1. 추가 파일 생성

해당 랜섬웨어가 실행되면 ‘C:\Users\[사용자명]\AppData\Local\Temp’ 경로에 [그림 6] 과 같이 ‘key.txt’ 파일과 ‘run.bat’ 파일을 생성한다.
 

[그림 6] 추가 파일 생성



 

해당 파일의 내용을 살펴보면, ‘run.bat’ 파일은 ‘notepad’를 사용하여 ‘keys.txt’ 파일을 실행하는 배치파일이다.
 

[그림 7] ‘run.bat’ 파일 내용



 

 

‘keys.txt’ 파일의 내용을 살펴보면, 해당 랜섬웨어 에서 암호화할 때 사용하는 공개키 정보를 담고 있다.
 

 

[그림 8] ‘keys.txt’ 파일 내용




 

3-2. 파일 암호화

사용자 PC를 탐색하여 아래 [표 1] 에 해당하는 확장자를 대상으로 암호화를 진행한다.

 

 

[표 1] 암호화 대상 확장자

 

암호화 조건에 맞는 파일을 찾아 암호화를 진행한 후 아래 [그림 9] 와 같이 ‘файл зашифрован (원본 파일명).zip’ 으로 변형한다. 해당 파일명은 러시아어로 ‘파일이 암호화 되었습니다’ 라는 뜻이다.
 

 

[그림 9] 암호화 된 파일




 

3-3. 자동 실행 등록

암호화 완료 후에 랜섬노트를 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 ‘txt 라는 이름으로 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
 

 

[그림 10] 자동 실행 등록




4. 결론

WannaCash 랜섬웨어는 지난해 처음 발견되어 현재까지 지속적으로 변종이 등장하고 있다. 주로 러시아 사용자를 대상으로 하는 것으로 알려졌지만, 정확한 유포 경로가 아직 알려지지 않았고, 현재까지도 꾸준히 발견되고 있어 사용자들은 PC 사용에 있어서 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

 

[그림 11] TACHYON Internet Security 5.0 진단 및 치료 화면



 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

 

[그림 12] TACHYON Internet Security 5.0 랜섬웨어 차단 기능