[랜섬웨어 분석] Ouroboros 랜섬웨어 분석

꾸준히 발견되는 Ouroboros 랜섬웨어 감염 주의

 

1. 개요 

Ouroboros 랜섬웨어는 2019년 4월경 처음 발견된 후 현재까지 지속적으로 발견되고 있는 랜섬웨어 이다. Zeropadypt 랜섬웨어 라고도 불리며, 유포 방식부터 감염 후 추가되는 암호화 확장자명까지 다양한 형태의 변종이 발견되고 있기 때문에 사용자들은 주의가 필요하다.
이번 보고서에는 최근에 발견 된 Ouroboros 랜섬웨어 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.

 

2-3. 실행 과정

Ouroboros 랜섬웨어는 실행 시, 사용자 PC에서 특정 서비스 및 프로세스를 찾아 종료한다. 이후 암호화 대상이 되는 파일을 찾아 암호화를 진행하고 사용자가 시스템 복구 기능을 이용하지 못하도록 섀도 복사본 삭제 명령어를 실행시킨다. 이후 랜섬노트를 통해 복호화 방법을 안내한다.
 

[그림1] Ouroboros 랜섬웨어 랜섬노트

 

3. 악성 동작

3-1. 서비스 및 프로세스 종료

랜섬웨어가 실행되면 아래 [표 1] 과 같은 서비스 및 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀 더 수월히 진행하기 위한 동작으로 보여진다.

[표 1] 종료 대상 서비스 및 프로세스 목록

 

3-2. 파일 암호화

해당 랜섬웨어는 ‘Windows’ 폴더와 ‘exe’ 파일을 제외한 모든 파일을 암호화 대상으로 한다. 파일 암호화를 진행 한 뒤 [그림 2] 와 같이 ‘.[ID=고유ID값][Mail=letitbedecryptedzi@gmail.com].Lazarus+’ 라는 확장자를 추가한다. 암호화를 완료 한 폴더에는 ‘DECRYPTION_GUIDANCE.txt’ 라는 이름의 랜섬노트를 생성한다.
 

[그림2] 암호화 된 파일

3-3. 섀도 복사본 삭제 명령어

암호화 동작을 완료한 뒤 사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 섀도 복사본 삭제 명령어를 실행한다.
 

[그림3] 섀도 복사본 삭제 명령어

 

해당 명령어가 실행되면 [그림 4] 와 같이 cmd창이 생성되며 ‘섀도 복사본을 삭제하시겠습니까?’ 라고 묻는다. 랜섬웨어 제작자가 실수로 명령어의 일부를 빠뜨린 것으로 추정된다.
 

[그림4] 섀도 복사본 삭제 실행 창

 

4. 결론

이번 보고서에서 알아 본 Ouroboros 랜섬웨어는 계속해서 여러 변종들이 발견되고 있고, exe파일을 제외한 모든 파일을 암호화 시키기 때문에 복호화에 실패 할 경우 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 항상 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능