분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] DeroHE 랜섬웨어

TACHYON & ISARC 2021. 1. 21. 11:52

 

주말 동안 윈도우 유틸리티 개발 업체인 IObit에서 발송한 것으로 위장한 메일이 IObit 회원들에게 전송됐다. 메일은 자사 1년 무료 라이선스를 지급한다는 내용으로 작성되었으며, “DeroHE” 랜섬웨어가 포함된 압축 파일을 다운로드하는 링크가 포함되어있다고 알려졌다. 만약, 사용자가 메일로 받은 링크에서 파일을 다운로드 한 후, 라이선스 획득을 위해 IObit License Manager.exe를 실행하면 “DeroHE” 랜섬웨어가 실행되어 파일이 암호화되며 확장자가 “.DeroHE”로 변경된다. 또한, 파일 복구를 위해 200 Dero 코인을 요구하므로 주의가 필요하다.

 

다운로드된 파일을 압축 해제한 후, IObit License Manager.exe를 실행하면 랜섬웨어 동작을 하는 iobit.dll ‘C:\Program Files\IObit\’에 생성된다. 이후, [그림 1]과 같이 실행하여 파일 감염을 진행한다.

 

[그림  1] DeroHE  랜섬웨어 파일 생성

 

DeroHE”에 감염되면 바탕화면에 “READ_TO_DECRYPT.html”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알리고 파일 복구 비용인 200 Dero 코인을 지불할 것을 요구한다. 추가로 동일 경로에 생성되는 “FILES_ENCRYPTED.html” 파일에는 감염된 파일의 경로가 작성되어 있다.

 

[그림  2]  랜섬노트

 

감염된 컴퓨터의 파일은 암호화되며, 암호화가 완료된 파일은 [그림 3]과 같이 “.DeroHE”라는 확장자로 변경된다.

 

[그림  3]  암호화 결과

 

또한, [그림 4]와 같이 버전, 파일 크기, 확장자 등의 정보를 파일 끝에 추가한다.

 

[그림  4]  암호 화된 파일 추가 데이터

 

해당 랜섬웨어는 원활한 감염을 위해 [ 1]의 목록에 해당하는 브라우저가 실행 중인 경우 강제로 종료하고, WMI를 이용하여 윈도우 디펜더(Windows Defender)에서 랜섬웨어의 실행과 관련된 값들은 검사하지 않도록 설정하여 “DeroHE” 랜섬웨어가 정상적으로 실행되게 한다.

 

[표  1]  감염 사전 동작

 

추가로 레지스트리를 변조하여 사용자가 컴퓨터를 재시작할 때 랜섬웨어가 자동 실행되도록 설정한다.

 

[표  2]  레지스트리 변조

 

암호화와 관련된 모든 과정이 완료되면 ‘%temp%’에 바탕화면 변경을 위한 iobg.jpg 파일을 생성하고, [그림 5]와 같이 바탕화면을 변경하여 감염 사실을 알린다.

 

[그림  5]  바탕화면 변경

 

이번 보고서에서 알아본 “DeroHE” IObit에서 발송한 메일로 위장하여 유포되었으며, 사용자가 무료 라이선스 획득을위해 메일의 링크에서 다운로드 받은 파일을 실행하면 “DeroHE” 랜섬웨어가 동작하여 파일을 암호화한다. 또한, 윈도우 디펜더에서 감시되는 것을 우회하고 자동 실행 등록 및 파일 복구를 위한 Dero 코인을 요구하므로 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  6] TACHYON Endpoint Security 5.0  진단 및 치료 화면