[랜섬웨어 분석] Zorab 랜섬웨어

암호 해독기를 가장한 Zorab 랜섬웨어

 

2018년에 등장한STOP Djvu 랜섬웨어는 다양한 변종으로 지금까지도 꾸준히 모습을 보이고 있다. 그런데 최근, 이 랜섬웨어의 해독기를 가장한 Zorab 랜섬웨어가 등장하였다. 해당 랜섬웨어는 “Decrypter DJVU”라는 이름으로 유포되고 있으며, 실행 시 파일을 드롭하여 악성 동작을 수행한다.

 

이번 보고서에서는 Zorab 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 하기의 이미지와 같이, 암호해독기의 모습을 가장하고 “Start Scan”을 실행하면 악성 파일이 드롭되어 %PERSONALUSER% 폴더에 대해 감염 동작을 실행한다. 악성 동작 이후에는 자가 삭제를 하여 사용자가 악성 동작이 수행되는 것을 눈치채지 못하도록 한다.

 

 

[ 그림  1]  실행 화면

 

해당 실행 파일은 “crab.exe”라는 파일을 드롭하여 감염 동작을 수행한다.

 

 

[ 그림  2]  파일 드롭 코드

 

해당 랜섬웨어에 감염되면 다음의 랜섬노트로 랜섬웨어에 된 감염사실을 알린다.

 

[ 그림  3]  랜섬노트

암호화가 된 후, 파일명은 ‘파일명.확장자.ZRB’로 변경된다.

 

[ 그림  4] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

모든 악성 동작이 끝나면 루트 디렉토리 아래에 자가 복사하고, 자동실행 파일을 생성하여 부팅 시에 해당 랜섬웨어가 자동으로 실행되도록 한다. 이때, 숨김속성으로 파일을 생성해 사용자 몰래 동작하도록 한다.

 

[ 그림  5]  자동실행 파일과 자가 복사된 파일

 

이번 보고서에서 알아본 Zorab 랜섬웨어는 암호 해독기를 가장하여, 사용자 디렉토리 내의 거의 모든 파일에 대하여 암호화를 하기에 STOP DJVU 랜섬웨어와 더불어2차 피해가 발생할 수 있다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[ 그림  6] TACHYON Endpoint Security 5.0  진단 및 치료 화면