분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] LockBit 랜섬웨어

TACHYON & ISARC 2020. 1. 22. 09:54

LockBit Ransomware감염 주의

 

1. 개요

아직 국내에서 감염된 사례는 없지만 지난해부터 출현 중인 “LockBit” 랜섬웨어는 다양한 변종이 출현하며 꾸준히 발견되고 있다. 이 랜섬웨어에 감염되면 .abcd 확장자를 암호화 한 파일에 덧붙이며, 볼륨 섀도우 복사본, 시스템 상태 백업 및 이벤트 로그를 삭제하여 사용자가 정상적인 복구를 하지 못하도록 만든다. 암호화가 완료된 디렉터리에는 랜섬노트가 생성되며 복구 비용의 지불 경로를 알려준다. 최근, 꾸준히 변종이 나오고 있으며, 사용자의 정상적인 PC 사용을 방해하고 있어 상당한 주의가 필요하다.
이번 보고서에서는 “LockBit” 랜섬웨어의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

2-2. 실행 과정

 

 LockBit랜섬웨어는 먼저 사용자가 복구를 하지 못하도록 볼륨 섀도우 복사본, 시스템 상태 백업 및 이벤트 로그를 삭제한다. 그 후, 암호 키를 레지스트리에 등록하고, 사용자 PC에서 실행 중인 프로세스와 서비스를 종료 대상 목록과 비교하여 일치하는 경우 해당 프로세스나 서비스를 종료한다. LockBit은 바탕화면을 변경해 감염 사실을 알리며, 암호화가 완료된 파일은 .abcd 확장자가 붙는다. 몸값 지불 경로는 암호화가 진행된 각 디렉터리에 ‘Restore-My-Files’ 랜섬노트를 생성하여 알려준다. 

 

[그림 1] 랜섬 노트

 


3. 악성 동작

 

3-1. 서비스 및 프로세스 종료 대상

 

원활한 감염을 위해 [표 1]의 서비스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료한다.

[표 1] 서비스 종료 대상



프로세스도 서비스와 동일하게 [표 2]의 목록과 비교하여 사용자 PC에서 실행 중인 경우에는 종료한다.

 

[표 2] 프로세스 종료 대상

 

3-2. 암호화 제외 대상

 

암호화 제외 대상은 파일과 확장자 모두 있으며, [표 3]의 목록과 같다.

 

[표 3] 암호화 제외 대상

 

 

암호화가 완료되면 기존의 확장자 뒤에 .abcd 확장자를 추가하며, 암호화가 진행된 디렉터리에는 랜섬노트가 생성된다.

 

[그림 2] LockBit 랜섬웨어 실행 결과



 

3-3. 복구 무력화

 

Lockbit 랜섬웨어는 ‘CMD.exe’를 사용해 [표 4]와 같이 볼륨 섀도우 복사본, 시스템 상태 백업 및 이벤트 로그를 삭제하여 사용자의 정상적인 복구를 방해한다.

[표 4] 복구 무력화 명령어



[그림 3]은 [표 4]의 명령어가 실행된 프로세스의 결과이다.

[그림 3] 복구 무력화 명령어 실행 프로세스 결과

 

 

3-4. 레지스트리 변경

LockBit 랜섬웨어는 암호 키, 바탕화면 변경 등을 위해 [표 5]의 레지스트리 값을 수정한다.

[표 5] 레지스트리 값 변경

 


[그림 4]는 EnableLinkedConnections 값을 변경한 결과이다.

[그림 4] 레지스트리 변경 결과 - EnableLinkedConnections

 

 

바탕화면 변경을 위해서는 Wallpaper 값의 데이터를 변경할 파일로 설정한다. 변경된 경로는 ‘C:\Users\user-name\AppData\Local\Temp’이고 파일명은 ‘[4자리 랜덤 값(문자, 숫자)].tmp.bmp’이다. 

[그림 5] 레지스트리 변경 결과 - Wallpaper

 

다음으로, Lockbit이라는 키를 생성한 후, 암호화에 사용할 값을 등록한다.

[그림 6] 레지스트리 변경 결과 - 암호 키 생성



3-5. 바탕화면 변경

 

랜섬웨어에 감염되면 [그림 7]과 같이 바탕화면을 변경하며 LockBit 랜섬웨어에 감염된 사실을 알린다.

 

[그림 7] 바탕화면 변경

4. 결론

 

이번 보고서에서 알아본 LockBit 랜섬웨어의 국내 피해사례는 확인되지 않았지만, 최초 발견 이후 꾸준히 활동 중이므로 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보지 말 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 9] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능