분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Ako 랜섬웨어

TACHYON & ISARC 2020. 1. 22. 09:16

새롭게 등장한 Ako 랜섬웨어

1. 개요

 

1월 초에 Ako 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 특정 파일을 제외하고 암호화를 진행한다. 하지만 암호화가 진행되고 난 뒤, Tor 브라우저를 통해 사용자와 소통한다는 특징이 있다. 해당 URL에 연결된 페이지는 랜섬노트의 역할로 사용자에게 금전적인 요구를 전달 하기 때문에 감염 된 사용자의 경우 금전적 손실이 발생할 수 있어 주의가 필요하다.
이번 보고서에는 최근 등장한 Ako 랜섬웨어에 대해서 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.

 



2-3. 실행 과정

해당 랜섬웨어가 실행되면, 복구가 불가능하도록 볼륨섀도우를 삭제하고 Windows 자동 복구 비활성화를 하는 등의 동작을 수행한다. 그 후 특정 디렉토리와 파일을 제외하고 파일 암호화를 한다. 그리고 txt 확장자의 랜섬노트를 생성하여 사용자에게 “Tor Browser”를 설치하고 공격자가 지정한 URL에 접근하도록 한다. 해당 페이지에는 자세한 금전적인 요구에 대한 정보가 담겨 있다. 

[그림 1] .txt 랜섬노트



Tor 브라우저를 사용하여 해당 URL에 접속하면 아래의 페이지가 나타난다.
 

[그림 2] 브라우저 랜섬노트

 

3. 악성 동작

 

3-1. 볼륨 섀도우 복사본 삭제 및 복구 비활성화

 

하기의 명령어를 사용하여 섀도우 복사본을 삭제하고 Windows 복구 설정을 비활성화하여 악성 동작 후에 PC 복구 불가능하도록 설정한다.

[표 1] 복구 불가 명령어

 


3-2. 파일 암호화

하기의 이미지와 표를 참고하면, 해당 랜섬웨어는 특정 디렉토리와 확장자를 제외하고 파일 암호화를 시행한다. 파일명은 “파일명.확정자.임의의 6자리 값”으로 변경된다.

 

[표 2] 암호화 제외 대상

 

[그림 3] 암호화 전



또한, 암호화가 진행된 디렉토리 아래에 txt 랜섬노트와 id 정보가 있는 파일을 생성하여 사용자에게 랜섬웨어 감염사실을 알린다.

 

 

[그림 4] 암호화 후




익명성이 보장되는 Tor 브라우저를 이용하여, 랜섬웨어 감염 사실을 알리고 금전적인 요구를 한다.
 

 

[그림 5] 할당된 id 입력 화면

 


 

[그림 6] 브라우저 랜섬노트 1



[그림 7] 브라우저 랜섬노트 2


 하기의 이미지와 같이 비트코인으로 금전적인 지불을 요구하며, 타이머를 설정하여 일정 시간이 지나면 두배의 금액을 요구한다.
 

 

[그림 8] 금전적 요구

 

4. 결론

이번 보고서에서 알아 본 Ako 랜섬웨어는 특정 디렉토리와 파일을 제외하고 암호화를 실행하며, 익명의 브라우저를 이용하여 사용자와 소통한다는 점에서 피해가 클 것으로 예상된다. 따라서 사용자는 각별한 주의가 필요하며, 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면