분석 정보/랜섬웨어 분석 정보

새로운 랜섬웨어 빌더 발견

최근 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 발견됐다. 빌더의 제작자는 빌더를 사용해 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하지만, 실제로 류크 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다.

 

지난 611, 한 악성 빌더 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다.

 

[그림 1] 랜섬웨어 제작자의 다크웹 게시글

 

해당 빌더를 실행하면 [그림 2]의 화면이 나타나며 확장자, 프로세스 이름 변경 및 자동 실행 설정 등의 기능을 조작해 랜섬웨어를 만들 수 있다.

 

[그림 2] 랜섬웨어 빌더 v1.0

 

[1]은 빌더에서 생성한 랜섬웨어와 제작자가 주장하는 류크 랜섬웨어를 비교한 표이며, 파일 암호화 후 변경하는 확장자와 랜섬노트에서는 유사점이 발견되지 않았다.

 

[표 1] 랜섬웨어 비교 – 변경 확장자와 랜섬노트

 

다음으로, 빌더에서 생성한 랜섬웨어는 류크 랜섬웨어에서 사용하는 AESRSA 암호화 알고리즘이 아닌 Base64 인코딩을 사용한다. 이 과정에서 파일을 유니코드로 읽어와 일부만 인코딩하므로 파일이 손상돼 복구가 어렵다.

 

[그림 3] 빌더에서 생성한 랜섬웨어의 암호화 코드

 

또한, 해당 랜섬웨어는 [그림 4]의 오른쪽과 같이 파일을 암호화 한다. 이에 반해 류크 랜섬웨어는 [그림 4]의 왼쪽과 같이 "HERMES"라는 키워드를 사용하므로 두 파일의 암호화에 대한 유사점이 발견되지 않았다.

 

[그림 4] 랜섬웨어 암호화 결과 비교

 

마지막으로, 빌더에서 생성한 랜섬웨어는 PC를 재부팅 할 때 자동 실행 하기 위해 Run 레지스트리 키에 등록하는 기능이 있으며, 이 기능은 류크 랜섬웨어에서 사용한 사례가 있었다.

 

[표 2] 빌더에서 생성한 랜섬웨어와 Ryuk 랜섬웨어의 자동실행 등록

 

이번에 공개된 빌더와 같이 유명한 랜섬웨어라는 키워드를 사용해 악성 빌더를 제작하는 등 모방 범죄가 발생할 수 있으니 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기