랜섬웨어 분석 정보

[랜섬웨어 분석] Mike 랜섬웨어 분석

Mike 랜섬웨어 주의!

1. 개요

최근 10월에 볼륨 섀도우를 삭제하는 Mike 랜섬웨어가 등장하였다. 해당 랜섬웨어는 볼륨 섀도우의 복사본을 삭제하고, Windows 오류 복구 기능을 비활성화한다. 그리고 특정 대상 파일에 대해 AES 와 RSA 로 암호화를 하여 사용자에게 금전적인 요구를 하므로 주의가 필요하다.
이번 보고서에는 최근 발견된 Mike 랜섬웨어에 대해서 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.


 

2-3. 실행 과정

랜섬웨어가 실행되면 암호화가 시작되기 전, “vssadmin.exe” 를 통해 드라이브에서 섀도우 복사본을 모두 삭제한다. 그리고SQL과 Sophos, Anti Virus와 같이 악성 동작에 방해가 될 만한 Windows 시스템 서비스를 중지한다. 이후, 특정 대상 확장자에 대하여 암호화를 진행하고 랜섬노트를 생성하여 랜섬웨어의 감염사실을 알리고 금전적인 요구를 한다. 

 

[그림 1] 랜섬노트



 

3. 악성 동작

3-1. 파일 데이터 삭제 및 변화

하기의 표와 같이 많은 데이터를 저장하는 확장자의 파일 데이터를 암호화한다.

[표 1] 암호화 대상



 

파일이 감염되면 ‘파일명.확장자.mike’ 으로 파일명이 변경된다.
 

 

[그림 2] 감염 전



 

[그림 3] 감염 후



 

하기의 이미지와 같이 파일을 암호화한다.
 

[그림 4] 원본 파일



 

[그림 5] 감염 파일




3-2. 볼륨 섀도우 삭제 및 Windows 복구 기능 비활성화

하기의 명령어와 같이 드라이브에 파일의 섀도우 복사본을 삭제하고, 부팅 단계에서 Windows 오류 복구 기능을 비활성화한다.

섀도우 복사본 삭제 명령어

vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin Delete Shadows /all /quiet

Windows 오류 복구 비활성화 명령어
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures 


 

3-3. Windows 서비스 중지

암호화가 진행되기 이전에, SQL과 Sophos, Antivirus 와 같은 Windows 서비스를 중단한다.
 

[그림 6] Windows 서비스 중지




 

4. 결론

이번 보고서에서 알아 본 Mike 랜섬웨어는 파일 섀도우 복사본을 삭제하고, Windows 복구 기능을 비활성화하여 감염 후 복구를 불가능하도록 하므로 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 7] TACHYON Endpoint Security 5.0 진단 및 치료 화면


댓글

댓글쓰기