분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] TurkStatik 랜섬웨어

TACHYON & ISARC 2019. 12. 20. 15:24

TurkStatik Ransomware감염 주의

 

 

1. 개요

“TurkStatik”로 불리는 랜섬웨어는 모든 드라이브를 대상으로 암호화한다. 이 중 디렉터리가 재배치 지점(ReparsePoint), 시스템(System) 및 숨김(Hidden) 속성을 지니면 암호화를 하지 않는다. 추가로 암호화의 주요 대상은 윈도우 실행 파일이 아닌 문서, 사진, 영상 및 코드 등이다. 암호화가 완료된 디렉터리에는 터키어로 작성된 랜섬노트가 생성되며 48시간 이내에 금액에 대한 협상을 요구한다. 따라서, 감염된 경우 상당한 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다.
이번 보고서에서는 “TurkStatik” 랜섬웨어의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

“TurkStatik” 랜섬웨어가 실행되면 암호화 대상 확장자를 등록하고, 이동식 드라이버가 인식이 된 상태인지를 확인한다. 만약, 인식된 상태인 경우 해당 드라이버의 정보를 획득한다. 그 후, TEMP 경로에 Windows.dll이란 이름으로 생성한 후, 암호화 키 등 암호화에 필요한 정보를 저장한다. 암호화가 완료된 파일은 .ciphered 라는 확장자가 붙으며, “README_DONT_DELETE”란 이름의 랜섬노트를 각 디렉터리에 생성하여48 시간 이내에 주어진 메일로 연락하여 금액 협상을 할 것을 요구한다. 

[그림 1] 랜섬 노트 

 

3. 악성 동작

3-1. 암호화 대상 드라이브 및 확장자

“TurkStatik” 랜섬웨어는 하드 디스크, 네트워크 드라이브, USB 등의 이동식 드라이브를 대상으로 암호화를 진행한다.

 

[표 1] 암호화 대상 드라이브 목록



 

만약, 드라이브의 속성 값이 Fixed, Network, Removable인 경우 내부를 스캔한다.

 

[그림 2] 암호화 대상 드라이브 코드

 

 

 

이동식 드라이브 정보는 윈도우 관리 도구(WMI)에 [그림 3]과 같이 쿼리를 보내 Device Arrival(EventType = 2) 값을 지닌 드라이브 정보를 획득한다.

 

[그림 3] 이동식 드라이브 인식 코드



 

 

암호화를 진행할 확장자는 총 116개이며, 문서, 사진, 영상, 소스 코드가 주요 대상이다. 


[표 2] 암호화 대상 확장자



3-2. 암호화 제외 대상

암호화 제외 대상은 [표 3]의 목록과 같으며, 디렉터리 속성에 재분석 지점이 있거나 시스템 및 숨겨진 디렉터리인 경우에 해당하면 암호화를 진행하지 않는다.


[표 3] 암호화 제외 대상

 

 

각각의 디렉터리는 속성(Attributes)을 확인한 후, ReparsePoint, system 및 hidden 값 중 하나라도 있다면 암호화를 진행하지 않는다.

 

[그림 4] 암호화 제외 대상 코드



3-3. 암호 키 파일 생성 및 암호화

암호화를 진행하기 전, TEMP 경로에 windows.dll 파일을 생성하여 암호화에 사용될 값을 저장한다.

 

[그림 5] windows.dll 파일 생성



 

windows.dll은 먼저 [그림 6]의 상단과 같이 난수(uid), 초기화 백터(iv), 키(key) 순서로 값을 저장하며, 저장된 값을 다시 한번 읽어와 미리 지정한 값으로 암호화를 한 뒤 windows.dll 에 다시 저장한다. 

 

[그림 6] windows.dll 파일 내용



 

 

암호화 대상 파일 스캔 및 RijndaelManaged 클래스에 사용할 값이 모두 설정되면 AES 256 알고리즘을 사용하여 파일 암호화를 진행한다.

 

[그림 7] 파일 암호화 코드



 

암호화가 완료되면 기존의 확장자 뒤에 .ciphered 확장자를 추가하며, 암호화가 진행된 디렉터리에는 랜섬노트가 생성된다.

 

[그림 8] TurkStatik 랜섬웨어 실행 결과




 

 

4. 결론

이번 보고서에서 알아본 “TurkStatik” 랜섬웨어에 감염되면 하드 디스크와 네트워크 드라이브가 감염되고 추가로 이동식 드라이브까지 모두 암호화가 진행된다. 따라서, 이동식 드라이브를 이용하는 경우 중요 자료가 암호화될 수 있으니 각별한 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, usb가 연결된 경우에는 usb도 감염되므로 중요한 자료는 웹 드라이브에 별도로 백업해 보관할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면