111.exe 악성코드 분석 보고서
1. 분석 정보
http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다.
111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다.
[그림] 감염 전 후 파일비교
모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, 바탕화면에도 복호화 방법을 설명하는 HOWTO_RESTORE_FILES.bmp 외 2개 파일을 생성한다. 또한 배경화면을 동일 파일로 교체하여 사용자의 PC가 랜섬웨어에 감염되었음을 알린다.
[그림] 감염된 PC 배경화면
설명 파일에는 이 랜섬웨어가 사용한 암호화 방식(RSA2048)과 복호화 하기 위해 따라야 할 방법이 명시되어있다. 설명 파일이 제공하는 복호화 페이지에 접속하면 아래와 같은 화면을 확인할 수 있고, 복호화를 위해 500 USD를 비트코인으로 제공할 것을 요구한다. 웹 페이지에서는 512 kbyte이하의 한 개 파일에 한해 무료 복호화를 제공하고 있다.
테스트결과 암호화 된 파일을 정상적으로 복호화 해주지만 이 결과는 돈만 지불하면 암호화된 파일을 정상으로 복구할 수 있음을 의미하진 않는다.
[그림] 복호화 웹페이지
111.exe는 여러 과정을 거쳐 자신을 C:\Documents and Settings\I Am Buster \Application Data 하위에 ytynd-a.exe(“임의의5자리문자열”+”–a.exe”)로 복사한 후 이 복사본으로 악성동작을 수행한다.
악성 동작에는 파일 암호화 외에도 윈도우 정상프로세스 vssadmin.exe를 사용하여 PC 백업 이미지를 삭제하고, ‘작업 관리자’, ‘레지스트리 관리도구’ 등 각종 윈도우 정상 프로세스의 실행을 방해하는 동작이 있다.
[그림] 정상 프로세스 실행 방해
100개이상의 확장자에 대해 암호화를 수행한다. 암호화의 대상이 되는 주요 확장자는 아래와 같다. 단, 파일 크기가 327 Mbyte이상일 경우 암호화 하지 않는다.
확장자
|
설명
|
zip, 7z, rar … |
압축 파일 |
doc, docx, ppt, pptx, xls, xlsx … |
오피스 파일 |
sql, py, c, js … |
프로그램 언어 파일 |
svg, psd, jpg, jpeg, dwg, ai, wma, wmv, flv, avi, mov, mp4 … |
미디어 파일 |
txt, rtf, pdf … |
문서 파일 |
raw, sav, csv, apk, blob, css, html, gho, map, wb2, w3x, xxx … |
기타 |
[표] 암호화 대상 확장자
[그림] 암호화 조건
111.exe는 암호화 된 파일에 .ecc 확장자를 붙이는 랜섬웨어 TeslaCrypt 의 변종으로 보인다. TeslaCrypt는 감염 PC내에 key.dat란 파일에 복호화에 필요한 키를 저장해 두고 있어 복호화가 가능한 랜섬웨어로 알려져 있으나, .ccc 확장자를 사용하는 111.exe는 복호화에 필요한 키를 PC에 따로 저장하지 않는다.
2. 결론
일반적으로 랜섬웨어에 감염되었을 시 암호화된 파일을 복구하는 방법은 존재하지 않는다. 감염 시 돈을 지불하면 파일 복구가 가능해 보이지만 100% 복구된다고 보기도 힘들다. 파일의 복구방법이 없는 만큼, 하나의 PC에 모든 자료를 저장하는 행위는 랜섬웨어에 감염되었을 때 돌이킬 수 없는 피해를 입게 된다.
암호화된 파일을 복구하기 힘들기 때문에 사전에 이를 방지하는 것이 중요하다. 일차적으로 불명확한 사이트 방문과 파일 다운로드를 삼가야 하며, 감염 시 피해를 최소화하기 위해 중요 PC의 망 분리 및 핵심 자료들을 독립된 저장매체에 주기적으로 백업해야 한다.
추가적으로 안티바이러스 제품을 설치 및 실행하며 주기적으로 업데이트 해 줘야한다. nProtect Anti-Virus/Spyware V3.0과 nProtecct Anti-Virus/Spyware V4.0의 실시간 감시 기능이 동작중이면 111.exe 악성코드를 감지하고 치료하기 때문에 사전에 피해를 막을 수 있다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[악성코드 분석] Radamant (랜섬웨어) (0) | 2016.02.26 |
---|---|
[악성코드 분석] 80.exe (랜섬웨어) (0) | 2015.12.28 |
웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요 (0) | 2011.03.14 |
퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견 (2) | 2011.02.15 |
Ransomware 변종의 지속적인 출현과 예방 조치 방법 (0) | 2011.01.21 |