분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] MedusaLocker 랜섬웨어 분석

TACHYON & ISARC 2019. 10. 31. 14:26

레지스트리를 변경하는 MedusaLocker 랜섬웨어 감염 주의

 

 

1. 개요

최근 사용자 계정 컨트롤(UAC) 관련 레지스트리를 변경하는 MedusaLocker 랜섬웨어가 발견되었다. 10월 초, 중국 서버 중 한 곳이 피해를 당한 것으로 알려졌으며, 국내에서는 최근에 지속적으로 발견되고 있는 것으로 알려져 주의를 기울일 필요가 있다.
이번 보고서에는 최근에 유포 되고 있는 MedusaLocker 랜섬웨어 대해서 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보




 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

MedusaLocker 랜섬웨어 실행 시, ‘관리자 권한’을 사용하여 악성 동작을 실행하기 위해 사용자 계정 컨트롤(UAC) 관련 레지스트리를 변경한다. 또한 자신을 특정 경로에 복제한 뒤 작업스케줄러에 등록하여 지속적으로 실행 하도록 한다. 이후 볼륨 쉐도우 복사본을 삭제하여 시스템 복구 기능을 마비 시킨 뒤, 원활한 암호화를 위하여 일부 프로세스를 찾아 강제로 종료 시킨 후, 암호화 대상에서 제외되는 경로와 파일을 선별하고 대상이 되는 파일의 암호화를 진행한다. 암호화 완료 후 [그림 1] 과 같이 랜섬노트로 복호화 방법을 안내한다.
 

[그림 1] MedusaLocker 랜섬웨어 랜섬노트




 

3. 악성 동작

3-1. 레지스트리 변경

동작이 실행되면 ‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System’ 에 존재하는 레지스트리를 변경한다. 해당 레지스트리는 사용자 계정 컨트롤(UAC) 관련 레지스트리로 ‘관리자 권한’을 이용하여 좀 더 원활한 악성 동작을 하기 위함으로 보인다.

 

 

[그림 2] 사용자 계정 컨트롤(UAC) 관련 레지스트리 변경

 



[표 1] 변경된 레지스트리값




3-2. 파일 복제 및 작업스케줄러 등록

레지스트리 변경 후에 ‘C:\Users\[사용자명]\AppData\Roaming’ 경로에 자기자신을 ‘svchostt.exe’ 라는 이름으로 복제한다.
 

[그림 3] 복제한 파일

 

 

복제한 파일은 작업스케줄러에 등록하여 15분마다 실행 되도록 설정한다.
 

 

[그림 4] 작업 스케줄러 등록




 

3-3. 시스템 복원 지점 삭제

작업 스케줄러 등록을 마친 뒤, 아래와 같이 볼륨 쉐도우 복사본 삭제 및 시스템 복원 기능을 마비시킨다.
 

[그림 5] 시스템 복원 지점 삭제 코드



 

시스템 복원 지점 삭제를 위한 코드에 대한 명령어 및 기능은 [표 2] 와 같다.

 

[표 2] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화




3-4. 프로세스 종료 및 파일 암호화

또한 아래 [표 3] 와 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀 더 수월하게 진행하기 위한 동작으로 보여진다.

[표 3] 종료 대상 프로세스



 

프로세스 종료 후에 [표 4] 와 비교하여 암호화 제외 경로 및 파일을 선별하여 대상이 되는 파일에 대해서 암호화를 진행한다.

[표 4] 암호화 제외 경로 및 암호화 제외 확장자



 

암호화가 진행되면 아래 [그림 6] 와 같이 ‘.encrypted’ 확장자를 덧붙인다. 또한 암호화가 완료된 폴더에 ‘HOW_TO_RECOVER_DATA.html’ 이라는 이름의 랜섬노트를 생성한다.
 

[그림 6] 암호화 된 파일




 

4. 결론

이번 보고서에서 알아 본 MedusaLocker 랜섬웨어는 아직 유포 경로나 국내 피해사례가 알려지지 않았지만, 최근에 발견되고 있는 만큼 사용자들은 항상 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면