동향 리포트/월간 동향 리포트

1월 랜섬웨어 동향 및 C0henLocker랜섬웨어 분석보고서

TACHYON & ISARC 2020. 2. 6. 14:48

   
악성코드 분석보고서

1. 1월 랜섬웨어 동향

 

2020년 1월(1월 01일 ~ 1월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 스팸메일을 통해 다수 유포되었다. 해외에서는 영국 여행자 보험 및 환전 전문 업체인 트래블엑스(Travelex)가 랜섬웨어 공격을 받았으며, 미국 연방 해양 시설이 랜섬웨어 공격으로 마비된 사건이 있었다.
이번 보고서에서는 1월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 1월 등장한 C0henLocker 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.


 

1-1. 국내/외 랜섬웨어 소식

 

Nemty 랜섬웨어 유포 사례

1월 한 달 동안 Nemty 랜섬웨어가 ‘입사지원서’ 등의 문서로 위장하여 첨부파일을 포함한 스팸메일 형태로 유포되었다. 첨부파일은 ‘부당 전자상거래 위반행위 안내 자료 반드시 준비해주세요.’란 이름을 사용하고, PDF, HWP 등 문서 파일 아이콘으로 위장한 랜섬웨어가 포함되어 있었다. 한편, Nemty 랜섬웨어는 지난 8월 처음 등장해서 최근 발견되는 2.5 버전까지 국내에서 유포된 사례가 있기 때문에, 사용자들은 주의를 기울일 필요가 있다.
 

 

[그림 1] Nemty 랜섬웨어 랜섬노트 



영국 여행자 보험 및 환전 전문 업체인 트래블엑스(Travelex), 랜섬웨어 피해 사례

1월 초, 여행자 보험 및 환전 전문 업체인 트래블엑스가 레빌(REvil) 랜섬웨어에 감염된 것으로 알려졌다. 해당 공격은 펄스 시큐어의 VPN에서 발견된 원격 코드 실행 오류(CVE-2019-1150) 취약점으로 인해 발생했다. 해당 취약점은 2019년 4월 24일에 패치가 완료되었지만, 공격자들은 취약점을 패치하지 않은 VPN을 통해 다중 인증 시스템을 무력화시키고, 랜섬웨어를 유포하였다. 트래블액스는 피해 직후, 시스템을 멈추고 몇몇 지부에서 수동으로 서비스를 진행하였다. 펄스 시큐어 측은 패치되지 않은 서버가 남아 있으며 기술 지원 프로그램을 24시간 돌리고 있다고 밝혔다.
 

[ 그림 2] Revil 랜섬웨어 랜섬노트




미국 연방 해양 시설, 랜섬웨어 피해 사례

1월 초, 미국 항만 당국의 일부 시설이 Ryuk 랜섬웨어에 감염된 것으로 알려졌다. 미국 해안 경비대 (USCG) 관계자는 이번 피해가 직원 중 한 명이 피싱 이메일의 링크를 열어서 발생했으며, 항만 당국의 네트워크, 카메라, 제어 시스템 및 모니터링 시스템의 중단으로 인해 큰 손실을 입었다고 밝혔다. 해상 시설이 공격당한 것은 2018년도부터 꾸준히 발생했으며, 지난해 USCG에서 5월과 7월에 사이버 보안 관련 위협에 대한 보안 경고를 발행했다고 한다.
 

 

[그림 3] Ryuk 랜섬웨어 랜섬노트 



1-2. 신종 및 변종 랜섬웨어

bigbosshorse 랜섬웨어

11월에 첫 발견되었던 bigbosshorse 랜섬웨어가 기능을 추가하여 발견되었다. 기존에 변경하지 않던 바탕화면을 제작자가 지정한 바탕화면으로 변경하는 기능이 추가되었고, 확장자가 .bigbosshorse 에서 .horsedeal로 변경되었다. 또한, 타타르어를 사용하는 PC가 감염 제외 대상에 추가되었다. 해당 랜섬웨어에 대해 아직 정확한 유포 경로나 피해사례는 알려지지 않았다.
 

 

[그림 4] bigbosshorse 랜섬웨어 랜섬노트




Ako 랜섬웨어

1월 초에 등장한 Ako 랜섬웨어는 암호화에 있어 특정 파일을 제외하고 암호화를 진행하지만 Tor 브라우저를 통해 금전적인 요구를 한다는 특징이 있다. 또한, 랜섬웨어 감염 시, 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제하고, Windows 복구 설정을 비활성화 한다. 해외에서는 계약서를 위장한 스팸메일 형태로 유포된다고 알려져 있으며 피해사례는 알려지지 않았다.
 

[그림 5] Ako 랜섬웨어 랜섬노트 

 



LockBit 랜섬웨어

1월 중순, 암호화 후 ‘.abcd’ 확장자를 추가하는 LockBit 랜섬웨어가 발견되었다. 볼륨 섀도우 복사본, 시스템 상태 백업 및 이벤트 로그를 삭제하여 사용자가 정상적인 복구를 하지 못하도록 만든다. 또한, 바탕화면을 변경하여 랜섬웨어 감염 사실을 알린다. 해당 랜섬웨어가 국내에서 감염된 사례는 없지만 지난해부터 출현 중이므로 주의가 필요하다.
 

[그림 6] Death 랜섬웨어 랜섬노트 




2. C0henLocker 랜섬웨어 분석보고서

 

“C0henLocker”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 UserProfile 경로의 모든 파일을 암호화 한 후, 0.15 BTC를 요구한다. “C0henLocker”에 감염되면 UserProfile에 저장된 파일은 사용할 수 없으므로 주의가 필요하다.
이번 보고서에서는 “C0henLocker” 랜섬웨어의 동작에 대해 알아보고자 한다.


2-1. 파일 정보


2-2. 실행 과정

“C0henLocker” 랜섬웨어가 실행되면 UserProfile 경로의 8개 폴더에 대한 암호화를 진행한다. 그 후 랜섬노트를 띄워 “C0henLocker”에 감염된 사실을 알리고, 0.15 BTC를 요구한다. 추가로 자동실행 등록과 작업 관리자를 실행하지 못하도록 설정하는 레지스트리 값을 등록한다. 만약, 복호화 키를 획득한 후 랜섬노트의 텍스트 박스에 입력하고 decrypt 버튼을 클릭하면 원본 파일이 나온다.

 

[그림 7] C0henLocker 랜섬노트  



3. 악성 동작

3-1. 파일 암호화

UserProfile 경로의 8개 폴더를 대상으로 해당 폴더에 있는 모든 파일을 암호화 한다.

[표 1] 암호화 대상 폴더 


암호화가 완료된 파일은 확장자가 .c0hen으로 변경되며, 기존 파일은 삭제한다.

 

[그림 8] 암호화 결과 


데이터는 0x80(128) 값으로 xor하며, 파일 맨 앞에 해당 파일의 확장자 길이와 확장자를 유니코드로 추가한다. 

 

[그림 9] 암호화된 파일 구조 



3-2. 레지스트리 등록

다음으로 레지스트리에 [표 2]와 같이 등록하여 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 설정하고, DisableTaskMgr 값을 등록하여 작업관리자를 비활성화 한다.

 

[표 2] 레지스트리 값 등록 

 


[그림 10]은 [표 2]에 작성된 레지스트리 값의 실제 등록 결과이다.

[그림 10] 레지스트리 등록 결과 




3-3. 파일 복호화

암호화가 완료되면 랜섬노트를 통해 0.15 BTC를 입금하면 복호화 키를 알려준다고 한다. 만약 복호화 키를 획득하였다면, [그림 7] 랜섬노트의 텍스트 박스에 키를 입력한 후, decrypt 버튼을 클릭하면 원본 파일로 복구할 수 있다.

텍스트 박스에 입력할 복호화 키 : 12309482354ab2308597u235fnq30045f

Decrypt 버튼을 누르면 먼저, 암호화를 하기 위해 등록한 레지스트리 값을 삭제하고, 암호화된 파일을 읽어 파일 맨 앞의 확장자를 획득한 후 원본 파일 획득을 위한 복호화 과정을 진행한다.

 

[그림 11] 레지스트리 삭제 코드 


4. 결론

이번 보고서에서 알아본 “C0henLocker” 랜섬웨어에 감염되면 UserProfile 경로의 파일이 암호화가 되어 주의가 필요하다. 
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 UserProfile 경로가 아닌 별도의 저장공간에 보관할 것을 권고한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 12] TACHYON Endpoint Security 5.0 진단 및 치료 화면