분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] GO-SPORT 랜섬웨어 분석

TACHYON & ISARC 2019. 11. 1. 14:16

GO-SPORT Ransomware 주의 

 

 

 

1. 개요

최근 ‘GO-SPORT’라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 10월경 발견되었으며, 아직 정확한 유포 경로나 피해사례는 구체적으로 알려지지 않았다. ‘GO-SPORT Ransomware’의 특징 중 하나는 시스템 복원 무력화 관련 배치파일의 내용이 헤르메스 랜섬웨어에서 사용되었던 배치파일의 내용과 같다. 이번 보고서에서는 ‘GO-SPORT Ransomware’에 대하여 알아본다. 


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일, P2P 사이트를 통해 유포되었을 것으로 추정된다.


 

2-3. 실행 과정

해당 랜섬웨어가 실행되면 사용자 PC에서 특정 확장자와 폴더를 제외하고 파일 암호화를 진행한다. 그리고 파일 암호화가 완료되면 파일명에 ‘.hdmr’ 확장자를 덧붙이고 암호화된 파일 내용의 마지막 부분에는 ‘HDMR’ 시그니처를 추가한다. 파일 암호화 이외에도 특정 프로세스를 강제로 종료하고 시스템 복원 무력화를 위해 배치파일을 생성한다. 마지막으로 ‘ReadMeAndContact.txt’ 랜섬노트를 C드라이브에 생성한다.
 

[그림 1] 랜섬노트 ‘ReadMeAndContact.txt’




 

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 아래 [표 1]에 해당하는 확장자와 폴더를 제외하고 암호화가 진행된다. 

[표 1] 암호화 제외 대상



 

파일 암호화가 완료되면, 원본 파일 확장자에 ‘.hdmr’ 확장자를 덧붙인다. 그리고 암호화된 파일을 확인해보면 뒷부분에는 ‘HDMR’ 시그니처를 추가한다.
 

[그림 2] 감염된 사용자 파일



 

 

[그림 3] ‘HDMR’ 시그니처 추가



 

3-2. 프로세스 종료 및 시스템 복원 무력화

Taskkill.exe을 이용해 아래 표에 해당하는 단어로 시작되는 이미지 이름과 서비스 이름을 찾아 프로세스를 강제종료 시킨다.

[표 2] 프로세스 종료 목록

 

또한 배치파일을 이용해 감염된 사용자가 PC를 감염 이전으로 되돌리는 것을 막기 위해 볼륨 쉐도우 복사본을 변경 및 삭제하고 백업 가능성이 있는 관련된 파일을 삭제한다. 이는 헤르메스 랜섬웨어에서 사용되었던 배치파일의 내용과 동일하다.
 

[그림 4] ‘1.bat’ 배치파일



4. 결론

이번 보고서에서 알아본 "GO-SPORT” 랜섬웨어는 일반적인 형태의 랜섬웨어이지만 발견된 지 얼마 되지 않아 정확한 유포 경로나 피해사례가 알려지지 않았기 때문에 사용자들은 PC 사용에 있어서 항상 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면



TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능