랜섬웨어 분석 정보

[랜섬웨어 분석] bigbosshorse 랜섬웨어 분석

bigbosshorse Ransomware감염 주의

 

 

1. 개요

최근 사용자 PC의 파일을 암호화한 후, “.bigbosshorse”라는 확장자를 추가하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한 후, .testxx 확장자와 Windows 폴더를 제외한 모든 파일의 암호화를 진행한다. 또한, 국내에서 해당 랜섬웨어가 발견된 만큼 주의를 기울일 필요가 있다. 
이번 보고서에서는 “bigbosshorse” 랜섬웨어의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

 “BigBossHorse” 랜섬웨어가 실행되면 가장 먼저 사용 언어를 확인한 후, 아르메니아 등 6개국에 해당하는 언어를 사용 중인 경우 프로그램을 종료한다. 이후 복구 무력화를 위해 볼륨 섀도우 복사본을 삭제하고 원활한 암호화를 위해 방화벽 해제, 자동 복구 모드 변경 및 일부 프로세스를 찾아 강제로 종료한다. 마지막으로 암호화에서 제외되는 폴더와 확장자를 확인한 후, 해당하지 않는 파일은 .bigbosshorse 확장자를 추가하여 암호화하고 “#Decryption#.txt”라는 이름으로 랜섬노트를 생성한다.

 

“bigbosshorse”는 랜섬노트를 통해 복구에 필요한 금액을 알려주는 Jabber Client를 다운로드 하여 실행하도록 유도한다.

 

[그림 1] 랜섬 노트 




 

3. 악성 동작

3-1. 사용 언어 확인

사용자 PC에서 [표 1]에 해당하는 언어를 사용 중일 경우에는 해당 악성코드를 실행하지 않는다.

[표 1] 시스템 언어 확인

 

 

 

3-2. 복구 무력화 및 방화벽 해제

정상적인 복구를 불가능하게 하기 위해 “vssadmin.exe”를 실행하여 볼륨 섀도우 복사본을 삭제한다. 만약, 64bit 환경인 경우 오류 복구 알림 창 표시와 자동 복구 모드를 사용 안함으로 변경하고, 방화벽을 비활성화하도록 설정한다. 

[표 2] 복구 무력화 및 방화벽 해제



정상적인 복구를 불가능하게 하기 위해서 “vssadmin.exe”를 실행하여 볼륨 섀도우 복사본을 삭제한다.

[그림 2] 볼륨 섀도우 삭제 코드 – vssadmin.exe 실행 

 



 

만약, 64bit 환경인 경우 SysWOW64대신 system32폴더로 리다이렉션하는 sysnative를 사용하여 자동 복구 모드와 오류 복구 알림 창 표시 사용 안함 설정 및 방화벽을 해제한다.

 

[그림 3] 64bit 환경에서의 복구 무력화 및 방화벽 해제 코드


 

Win7 64bit 환경에서 “bigbosshorse”를 실행했을 때 자동 복구 모드는 사용 안함으로 변경됐으며, Win7 32bit 환경에서는 변경되지 않았다.

 

[그림 4] recoveryenabled no 명령어 결과 (좌: 32bit 우: 64bit)




 

3-3. 프로세스 종료

“bigbosshorse”는 파일 암호화를 하기 전에 [표 3]의 프로세스 종료 대상(76개)을 찾아 해당 프로세스를 강제종료한다.

[표 3] 프로세스 종료 대상



3-4. 파일 암호화

이전 과정이 완료되면, windows 폴더와 .testxx확장자가 있는 파일을 제외한 모든 파일을 암호화 한다.

[표 4] 암호화 제외 대상



 

암호화가 완료되면 기존의 확장자 뒤에 .bigbosshorse 확장자를 추가하고, 각각의 폴더에 랜섬노트를 생성한다.

[그림 5] “bigbosshorse” 랜섬웨어 실행 결과




3-5. 자가 삭제

모든 파일의 암호화가 완료되면 [그림 6]의 커맨드 라인을 사용하여 해당 파일을 삭제한다. 

[그림 6] 자가 삭제 실행 커맨드 라인




 

4. 결론

이번 보고서에서 알아본 “bigbosshorse” 랜섬웨어에 감염되면 Windows 폴더를 제외한 모든 파일이 암호화되며, 볼륨 섀도우 복사본이 삭제되어 복구가 불가능하다. 또한, 최근 국내에서 발견되고 있는 만큼 사용자들은 항상 주의를 기울일 필요가 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 별도로 백업해 보관할 것을 권고한다. 또한, 불분명한 링크나 첨부파일을 함부로 열지 않도록 해야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 7] TACHYON Endpoint Security 5.0 진단 및 치료 화면



 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 8] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능



댓글

댓글쓰기