80.exe 악성코드 분석 보고서
1. 분석 정보
1.1. 유포경로
랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.
80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.
[그림] 메일을 통해 유포된 랜섬웨어 80.exe
1.2. 80.exe
이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.
임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.
1.3. kgbbpacroic.exe
80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.
|
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 값 이름 : Acrndtd (고정) 값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe” (랜덤한 11자 문자) |
[표] 자동 실행 레지스트리
이후 실행된 PC 의 루트 디렉토리(C:\, D:\ 등)에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브 내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.
암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.
|
.avi .m3u .mov .mp4 .wma .wmv |
오디오 및 비디오 파일 |
|
.crw .jpe .jpeg .jpg .png |
이미지 파일 |
|
.ai .psd |
포토샵 파일 |
|
.css .js .py |
소스 파일 |
|
.csv .doc .docx .pdf .ppt .pptx .rtf .txt .wpd .wps .xls .xlsx |
문서 파일 |
|
.pak .rar .zip |
압축파일 |
|
.bkf |
MS 백업파일 |
|
.cer |
인증서 파일 |
|
.cdr |
코렐 드로우 파일 |
|
.cer |
보안 인증서 |
|
.dbf |
dBase 파일 |
|
.dcr |
쇽웨이브 파일 |
|
.dmp |
화면이나 메모리의 덤프 파일 |
|
.dwg |
오토캐드 파일 |
|
.eps |
캡슐화된 포스트스크립트 이미지 |
|
.gdb |
영산정보통신 GVA 및 GVA2000, 압축된 강의 파일 |
|
.indd |
Adobe, Indesign |
|
.mdb |
마이크로소프트 액세스 데이터베이스 |
|
.mdf |
마이크로소프트, MS-SQL Master 데이터베이스 파일 |
|
.pic |
PC Paint 비트맵 |
|
.pst |
마이크로소프트 아웃룩, 개인 폴더 파일 |
|
.raw |
Raw File Format (비트맵) |
|
.sav |
저장된 게임 파일 (일반 명칭) |
|
.svg |
W3C, 스케일러블 벡터 그래픽스 파일 (인터넷 멀티미디어 파일 교환용) |
|
.vcf |
넷스케이프, 가상 카드 파일 |
|
.mcmeta .lvl |
게임 관련 파일 |
[표] 암호화 대상 확장자
암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.
[그림] 원본 파일(좌) 과 암호화 된 파일(우)
암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.
[그림] 랜섬웨어 감염 안내문
2. 결론
80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.
해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)
[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면
[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [악성코드 분석] MBR 변조로 부팅을 방해하는 PETYA 랜섬웨어 (0) | 2016.04.15 |
|---|---|
| [악성코드 분석] Radamant (랜섬웨어) (0) | 2016.02.26 |
| [악성코드 분석] 111.exe (랜섬웨어) (0) | 2015.12.21 |
| 웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요 (0) | 2011.03.14 |
| 퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견 (2) | 2011.02.15 |