2월 랜섬웨어 동향 및 DeathHiddenTear 랜섬웨어 분석보고서

악성코드 분석보고서

 

1. 2월 랜섬웨어 동향

 

2020년 2월(2월 01일 ~ 2월 29일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 코로나바이러스 이슈를 이용한 CXK_NMSL 랜섬웨어가 엑셀 아이콘으로 위장하여 다수 유포되었다. 해외에서는 크로아티아 최대 규모 주유소 체인인 INA가 Clop 랜섬웨어 공격을 받았으며, 호주 Toll 그룹이 랜섬웨어 공격으로 마비된 사건이 있었다.
이번 보고서에서는 2월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 2월 등장한 DeathHiddenTear 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

1-1. 국내/외 랜섬웨어 소식

코로나바이러스 이슈를 이용한 랜섬웨어 유포 사례

 

코로나바이러스 이슈를 이용한 랜섬웨어가 발견되었다. 이번 랜섬웨어는 CXK-NMSL로 불리며 엑셀 아이콘 및 이중 확장자를 사용한 파일(‘Information on Travelers from Wuhan China to India.xlsx.exe’)로 유포되었다. 파일 이름에서도 우한이라는 키워드가 확인되며, 실행되면 사용자 파일을 암호화하고 확장자를 cxk_nmsl로 변경한다. 또한, 중국어로 작성된 랜섬노트 생성과 바탕화면을 변경하여 감염 사실을 알린다. 코로나바이러스 이슈를 이용한 배포인 만큼, 사용자들은 주의를 기울일 필요가 있다.
 

[그림 1] CXK-NMSL 랜섬웨어 랜섬노트 

 

크로아티아 최대 규모 주유소 체인인 INA(INA-Industrija nafte, d.d.), Clop 랜섬웨어 피해 사례 

 

2월 중순, 크로아티아 최대 석유 회사이자 주유소 체인인 INA 그룹이 Clop 랜섬웨어 공격을 받았다. 이로 인해 회사의 백엔드 서버 중 일부가 감염되었고, 인보이스 발행 및 마일리지 카드 사용이 불가능했다고 한다. 이번 공격에 사용된 Clop 랜섬웨어는 윈도우 시스템을 주 타겟으로 하며 보안 제품 및 윈도우 디펜더를 비활성화 하려 시도한다. 현재, INA 그룹은 모든 시스템을 복원하기 위한 작업을 진행 중이라고 밝혔다.
 

[그림 2] Clop 랜섬웨어 랜섬노트 

 

 

호주 Toll 그룹 Mailto 랜섬웨어 피해 사례

 

2월 초, 호주의 Toll 그룹이 Mailto 랜섬웨어 공격을 받았다. Mailto 랜섬웨어는 지난해 첫 발견 되었으며, 이번 공격으로 인해 Mailto 랜섬웨어가 기업을 대상으로 공격한다는 점이 밝혀졌다. 해당 랜섬웨어는 비밀번호 관리 프로그램인 Sticky Password 소프트웨어로 위장하며 만약, 실행되면 파일 암호화 동작 후 파일의 확장자를 ".mailto [{mail1}]. {id} "으로 변경한다. 이후 “{ID} -Readme.txt"라는 이름의 랜섬노트를 생성하여 감염 사실을 알린다. 기업을 대상으로 공격한다는 사실이 알려졌기에 기업들은 사내 보안에 주의를 기울일 필요가 있다.
 

[그림 3] Mailto 랜섬웨어 랜섬노트 

 

1-2. 신종 및 변종 랜섬웨어

Dharma 랜섬웨어

 

이탈리아에서 송장으로 위장한 스팸 메일 형태로 유포된 Dharma 랜섬웨어가 발견되었다. 스팸 메일에 포함된 첨부파일을 압축 해제하면 Nuovo Documento 2.vbs파일이 있으며, vbs파일이 실행되면 Dharma 랜섬웨어를 다운로드하여 실행한다. 주요 특징으로는 파일 암호화, 복구 무력화를 위한 볼륨 섀도우 복사본 삭제 및 작업 스케줄러 등록이 있다. 
 

[그림 4] Dharma 랜섬웨어 랜섬노트 

 

RagnarLocker 랜섬웨어

 

ConnectWise 및 Kaseya 등의 원격 관리 및 모니터링 소프트웨어 (RMM)를 주로 사용하는 기업을 대상으로 공격하는 RagnarLocker 랜섬웨어가 발견되었다. 해당 랜섬웨어에 감염된 PC의 파일은 .RGNR_{랜덤 8자리}.txt 확장자가 붙고, 파일 마지막에 _RAGNAR_라는 시그니처가 추가 된다. 이번 공격은 기업을 대상으로 하는 표적 공격이지만 아직까지 피해사례는 알려지지 않았다.
 

[그림 5] RagnarLocker 랜섬웨어 랜섬노트 

 

Genasom 랜섬웨어

 

최근 2월 중순, 암호화 후 ‘.pxj’ 확장자를 추가하는 Genasom 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본 삭제, 윈도우 오류 복구 알림과 자동 시작 복구를 비활성화 하여 사용자가 정상적인 복구를 하지 못하도록 만든다. 또한, LOOK.txt라는 랜섬 노트를 생성하여 랜섬웨어 감염 사실을 알린다. 해당 랜섬웨어가 국내에서 감염된 사례는 없지만 사용자의 눈에 띄지 않게 악성 동작을 하며 복구가 불가능하기 때문에 주의가 필요하다.
 

[그림 6] Genasom 랜섬웨어 랜섬노트 

2. DeathHiddenTear 랜섬웨어 분석보고서

“DeathHiddenTear”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 파일 크기에 따라 확장자를 다르게 변경하며, 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다.
 

해당 랜섬웨어에 감염되면 파일 크기가 50MB 초과인 경우에는 .encryptedL로 변경하고, 50M 이하는 .encryptedS로 변경한다.

 

[그림 7] 암호화 결과 

암호화 절차가 완료되면 몸값 지불 방법에 대한 지침이 작성된 “Decrypt Instructions.txt”란 이름의 랜섬 노트를 생성한다.

 

[그림 8] 랜섬 노트 

 

또한, 암호화 후 복구를 막기 위해 볼륨 섀도우 복사본을 삭제한다.

 

[표 1] 복구 무력화 명령어 

 

이번 보고서에서 알아본 “DeathHiddenTear” 랜섬웨어에 감염되면 확장자가 파일 크기에 따라 다르게 변경되며, 주요 문서 및 파일이 암호화가 되어 주의가 필요하다. 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면