분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Ragnarok 랜섬웨어

TACHYON & ISARC 2020. 1. 30. 13:44

Ragnarok 랜섬웨어 감염주의

 

1. 개요

최근 언어 코드를 확인하여 감염 수행여부를 결정하는 Ragnarok 랜섬웨어가 발견되었다. 해당 랜섬웨어에는 특정 언어 코드와 일치하면 동작을 수행하지 않고, 그 외의 경우에는 랜섬웨어 동작을 수행한다. 한국어는 감염 대상에 포함되기 때문에 국내 사용자의 경우 감염의 위험이 크다. 만약 감염이 된다면 사용자의 PC를 암호화하고, 볼륨 섀도우를 삭제하여 복구를 불가능하도록 하고 금전을 요구한다.
이번 보고서에는 Ragnarok 랜섬웨어에 대해서 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.


 

2-3. 실행 과정

 

해당 랜섬웨어의 경우, PC 환경 및 권한에 따라 볼륨섀도우를 삭제하고 Windows 자동 복구 비활성화를 하는 등의 동작을 수행한다. 그리고, 언어 설정을 확인하여 특정 언어를 사용하는 국가는 감염 대상에서 제외한다. 그 후, 특정 디렉토리와 확장자를 제외하고 파일 암호화를 한다. 암호화가 진행된 디렉토리 아래에 랜섬노트를 생성하여 감염사실을 알린다. 

[그림 1] 랜섬노트

 

 

3. 악성 동작

3-1. 볼륨 섀도우 복사본 삭제 및 복구 비활성화

 

사용자의 눈에 띄지 않게 동작하기 위하여 상위 권한으로 실행되는 경우에만 명령어가 수행된다. 32비트 환경의 경우에는 ‘전체 볼륨 섀도우 복사본 삭제’ 명령만 수행하고, 62비트 환경의 경우, ‘전체 볼륨 섀도우 복사본 삭제’ 명령 및 ‘방화벽 차단’ 명령을 수행한다.

 

[표 1] 복구 불가 명령어

 

[그림 2] 복구 비활성화하는 부분

 

3-2. 파일 암호화

하기의 이미지와 표를 참고하면, 해당 랜섬웨어는 특정 국가와 드라이브, 디렉토리, 확장자를 제외하고 파일 암호화를 시행한다. 파일명은 “파일명.확정자.ragnarok_cry”으로 변경된다.

 

[표 2] 암호화 제외 대상


또한, 암호화가 진행된 디렉토리 아래에 txt 랜섬노트와 id 정보가 있는 파일을 생성하여 사용자에게 랜섬웨어 감염사실을 알린다.

[그림 3] 암호화 후

 

4. 결론

이번 보고서에서 알아 본 Ragnarok 랜섬웨어는 한국을 포함한 특정 국가에 대하여 악성동작을 수행하므로, 표적 공격으로 인한 큰 피해가 예상된다. 따라서 사용자는 각별한 주의가 필요하며, 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 4] TACHYON Endpoint Security 5.0 진단 및 치료 화면