랜섬웨어 분석 정보

[랜섬웨어 분석] AnteFrigus 랜섬웨어 분석

국내에 유포된 AnteFrigus 감염 주의

 

 

1. 개요

최근 새롭게 등장한 “AnteFrigus” 랜섬웨어는 익스플로잇 킷을 통해 국내에 잠시 유포된 것으로 알려져 있다. 해당 랜섬웨어는 C드라이브에 파일은 암호화하지 않으며, 다른 파티션 혹은 보조 하드디스크에 존재하는 파일을 암호화하고 복구비용을 요구하고 있어 사용자의 주의가 필요하다.
이번 보고서에서는 “AnteFrigus” 랜섬웨어에 대해 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

 

2-2. 실행 과정

 “AnteFrigus” 랜섬웨어 실행 시 사용자의 하드드라이브 목록을 검색 후 저장하며, ‘C:\’ 경로에 ‘Instraction, qweasd’ 폴더를 생성한다. 저장된 드라이브 중D, E, F, G, I, U 드라이브의 폴더 및 파일을 검색하여 파일을 암호화한다. 암호화 한 파일에 .qrja 확장자를 덧붙이고, ‘C:\Instraction’과 바탕화면에 랜섬노트를 생성하여 실행시킨다. 마지막으로 사용자 PC 정보를 탐색한 뒤 외부 연결을 시도한다.

[그림 1] 지불 안내 웹사이트



3. 악성 동작

3-1. 드라이브 검색 및 폴더 생성

“AnteFrigus” 랜섬웨어가 실행되면 사용자의 드라이브 목록을 검색한 뒤 하드디스크 여부를 확인한다.

[그림 2] 드라이브 검색

 

 

이후 ‘C:\Instraction’ 폴더에 “qrja-readme.txt” 랜섬노트를 생성하며 ‘C:\qweasd’ 폴더에는 “test.txt” 파일을 생성한다.

[그림 3] Instraction

 

 

 

“test.txt” 에는 난수를 생성 후 저장하고, 숨김속성으로 변경시킨다. 해당 값은 랜섬노트에 Key값을 생성하는데 사용된다.

[그림 4] qweasd



 

3-2. 파일 암호화

 검색한 하드디스크 드라이브 중 E, D, F, I, U, G 드라이브를 대상으로, 아래 [표 1]의 목록에 있는 확장자를 제외한 모든 파일을 암호화한다.

[표 1] 암호화 제외 대상

 

암호화된 파일은 [그림 5]와 같이 .qrja 확장자를 덧붙이지만, 한글 파일명인 경우 확장자가 변경되지 않는다.

 

[그림 5] 암호화된 파일 목록

 

 

파일 이름이 한글로 된 파일을 오픈하여 확인해보면 암호화되어 깨진 것을 확인할 수 있다.

[그림 6] 암호화된 한글명 파일




3-3. 랜섬노트 실행

 바탕화면에 랜섬노트를 추가적으로 생성하고, ‘C:\Windows\system32\cmd.exe /c C:\Instraction\qrja-readme.txt’ 명령어를 통해 랜섬노트를 실행한다.

[그림 7] 랜섬노트



 

실행된 qrja-readme.txt 을 종료할 경우 다음과 같이 추가적인 메시지 창을 생성하여 경고한다.

 

[그림 8] 추가 메시지창



3-4. 외부 연결 시도

마지막으로 외부 연결을 시도하며, 현재는 추가적인 악성 동작이 확인되지 않는다.

 

[그림 9] 외부 연결



 

4. 결론

 이번 보고서에서 알아본 “AnteFrigus” 랜섬웨어는 11월 초 잠시 유포된것으로 알려져 있으며, 테스트 버전으로 추정되고 있다. 따라서 향후 업데이트 및 기능의 변화가 있을 수 있어 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

[그림 10] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

[그림 11] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능




댓글

댓글쓰기