분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] RegretLocker 랜섬웨어

TACHYON & ISARC 2020. 11. 6. 16:22

RegretLocker Ransomware 감염 주의

 

최근 "RegretLocker” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 파일 및 폴더를 제외한 모든 파일에 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 몸값을 요구한다. , 가상 하드 디스크 파일(VHD)을 마운트하는 동작과 실행중인 프로세스를 종료한 뒤 암호화하는 동작이 추가되어 효과적인 암호화가 이루어지므로 사용자의 주의가 필요하다.

 

RegretLocker” 랜섬웨어에 감염되면 [ 1]의 특정 파일 및 폴더를 제외한 모든 확장자의 파일이 암호화 된다.

 

[표  1]  암호화 제외 파일 및 폴더

 

암호화 이후 파일명의 확장자 뒤에 “.mouse”라는 이름의 확장자를 덧붙인다.

 

[그림  1]  암호화 결과

 

추가적으로 암호화 대상 폴더에 “HOW TO RESTORE FILES”라는 이름으로 txt 확장자의 랜섬노트를 생성하여 사용자에게 감염 사실을 알린다. 또한, “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” 레지스트리 경로에 랜섬 노트 경로 값을 생성해 윈도우 시작 시 자동으로 랜섬노트를 띄운다.

 

[그림  2]  랜섬 노트

 

또한, 정상적인 복구가 불가능하도록 볼륨 섀도우 복사본 등 복구와 관련된 데이터를 삭제 및 비활성화한다.

 

[표  2]  복구 무력화

 

RegretLocker” 랜섬웨어는 사용자가 가상 하드 디스크(VHD)를 생성할 때 해당 디스크가 저장되는 파일의 확장자인 “.VHD” 혹은 “.VHDX”를 탐색하여 사용자의 물리 디스크에 마운트되어 있지 않다면 마운트한 뒤 암호화한다. 이 동작을 통해 랜섬웨어가 각 드라이브를 개별적으로 암호화 할 수 있어 암호화 속도가 빨라진다.

 

 [그림  3]  가상 하드 디스크 (VHD)  마운트 로그

 

그리고 Windows Restart Manager를 이용하여 암호화 중에 실행중인 프로세스 또는 Windows 서비스를 종료하기에 효과적인 암호화가 이루어진다. 이때 치명적인 프로세스가 종료되어 시스템이 손상되는 것을 막기 위해 [ 3]에 해당되는 문자열이 있는 프로세스 및 서비스는 종료하지 않는다.

 

[표  3]  종료 제외 프로세스 문자열

 

이번 보고서에서 알아본 “RegretLocker” 랜섬웨어는 효과적인 암호화를 위해 다양한 기법이 적용되었다. 이로 인해 가상 하드 디스크 및 이동식 디스크 전부를 암호화 하므로 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면