분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] FuxSocy 랜섬웨어 분석

TACHYON & ISARC 2019. 11. 1. 14:27

파일 이름도 변경시키는 FuxSocy 감염 주의

 

 

1. 개요

최근 등장한 “FuxSocy” 랜섬웨어는 사용자의 파일을 암호화하고, 파일이름을 임의의 문자열로 변경 후 추가적으로 확장자를 덧붙이고 있다. 해당 랜섬웨어는 작업 스케줄러 등록을 통해 공격의 지속성도 유지하고 있어 사용자의 주의가 필요하다.
이번 보고서에서는 “FuxSocy” 랜섬웨어에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 실행 과정

 “FoxSocy” 랜섬웨어 실행 시 볼륨섀도우 복사본을 삭제하고, ‘AppData\Roaming’ 폴더에 “FoxSocy” 원본파일을 복사 후 실행시키며 작업스케줄러에 등록하여 지속적으로 실행되도록 설정한다. 이후 암호화 대상을 선별하여 파일을 암호화하며, 랜섬노트와 바탕화면 변경을 통해 사용자에게 감염 사실과 복구 방법을 안내한다. 

[그림 1] FuxSocy 랜섬노트



 

3. 악성 동작

3-1. 볼륨 섀도우 복사본 삭제

“FoxSocy” 랜섬웨어 실행 시, WQL(WMI Query Language)을 이용하여 윈도우 운영체제 관리 도구인 WMI에서 볼륨 섀도우 복사본의 정보를 검색하고 모두 삭제한다.

 

[그림 2] 볼륨 섀도우 삭제코드



 

 

[그림 3] 볼륨 섀도우 복사본 삭제 전후




3-2. 원본 파일 복사

 ‘\AppData\Roaming\임의의 문자열’폴더를 생성 후 “FoxSocy” 원본파일을 숨김 속성으로 복사한 뒤, 'Windows' 폴더 내부파일 중 무작위로 선별한 파일과 동일한 파일명으로 변경한다. 이후 원본 파일은 삭제하고 복사한 파일을 실행시킨다.

 

[그림 4] 파일 복사



아래 [그림 5]처럼 레지스트리 설정을 통해 숨김 파일이 사용자에게 보이는 것을 방지한다.
 

[그림 5] 레지스트리 변경



3-3. 작업 스케줄러 설정

 악성 행위를 유지하기 위해 앞서 복사한 파일을 작업 스케줄러에 등록하여 지속적으로 실행되도록 설정한다.

 

[그림 6] 작업스케줄러 등록



3-4. 파일 암호화

 복사 후 실행된 “FuxSocy” 랜섬웨어는 사용자 시스템의 파일을 검색한 후, 아래 [표 1]의 암호화 제외 경로 및 필수 대상 리스트와 비교하여 조건에 일치하는 파일을 암호화한다. 

[표 1] 암호화 대상 목록



 

암호화 된 파일은 [그림 7]과 같이 ‘[랜덤한 10글자 파일명].[랜덤한 4글자 확장자]’의 형태로 파일이름을 전부 변형시키고 확장자를 덧붙인다.

 

[그림 7] 암호화된 파일 목록




 

3-5. 바탕화면 변경

 마지막으로 바탕화면을 변경과 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 안내한다.

 

[그림 8] 바탕화면 변경



4. 결론

 이번 보고서에서 알아본 “FuxSocy” 랜섬웨어는 실행을 중지시켜도 작업스케줄링에 등록되어 다시 실행되며, 파일을 암호화 할뿐만 아니라 파일명도 원본파일을 알 수 없도록 변형하고 있어 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면



 

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 10] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능