분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 주의

TACHYON & ISARC 2016. 6. 21. 15:58

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서

 



 

1. 개요

최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

ZCrypt.exe (파일명 확인되지 않음)

파일크기

536, 699 Byte

진단명

Ransom/W32.ZCryptor.536699

악성동작

파일 암호화를 통한 금전(Bit-coin) 요구











2-2. 유포 경로

랜섬웨어는 대체적으로 불특정 다수를 대상으로 분포되며 주로 웹사이트의 취약점이나 이메일의 첨부파일 형식으로 전파된다. ZCrypt 역시 초기엔 워드 매크로에 삽입되어 이메일을 통해 전파 된 것으로 보인다. 

ZCrypt가 다른 랜섬웨어과 차별되는 점은 감염 이후에 볼 수 있다. ZCrypt는 이동식 디스크가 연결되어 있는지 확인한 후 해당 디스크에 autorun.inf 파일과 자기자신을 복사하여 감염시킨다. 이 후 감염된 이동식 디스크가 다른 PC에 연결되면 복사된 ZCrypt가 자동으로 실행되면서 2차 피해를 꾀했다.





2-3. 동작

ZCrypt 랜섬웨어는 NSIS(Nullsoft Scriptable Install System)를 이용한 설치파일의 일종으로 악성 행위에 필요한 파일들이 압축형태로 저장되어 있다. ZCrypt 설치 파일이 내포하고 있는 파일 중 System.dll 은 NSIS 에서 사용하는 정상 모듈이고, 그 외 SetCursor.dll 과 .cCS, .9 파일은 실제 악성동작에서 사용하는 모듈 및 파일이다. 


ZCrypt 랜섬웨어의 특징적인 부분은 대상 OS 버전이 Windows XP 일 때는 동작하지 않는 것이다. 최근 OS 점유율을 보면 Windows XP 는 공식지원이 끝났지만 2016년 1월부터 5월까지 OS 시장 점유율을 살펴보면 아직까지 10% 이상의 점유율을 보이고 있다. 일반적인 악성코드가 더 많은 감염자를 발생시키기 위해 최대한 많은 OS 버전에서 동작 할 수 있도록 하는 것과 달리 ZCrypt 랜섬웨어는 특정 OS에선 동작하지 않는다는 차이점을 보인다.



[그림 1] 원본 ZCrypt 파일이 가지고 있는 모듈 및 파일




[그림 2] 2016년 OS 시장 점유율

(출처 : NETMARKETSHARE Market Share Report, Desktop Operating System Market Share, 2016.01~2016.05)





3. 악성 동작

3-1. 시작프로그램 등록 및 자가복제

악성코드 실행 시 Run 레지스트리 하위에 ‘zcrypt’라는 이름으로 자기 자신을 등록하며 시작프로그램에도 .lnk 파일 형태로 자기자신의 실행파일을 연결한다. 시작프로그램 폴더에는 재부팅 후 사용자에게 바로 보여질 수 있는 랜섬웨어 안내문 ‘How to decrypt files.html’ 도 생성한다. 또한, %APPDATA% 폴더 하위에 zcrypt.exe 이름으로 자기 자신을 복사한다.




3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.



[그림 3] USB에 생성된 파일


3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.


<!--[if !mso]--> <!--[endif]-->

<!--[endif]-->

.gif .zip .7z .mp4 .avi .mkv .wmv .swf .pdf .sql .txt .jpeg .jpg .png .bmp .psd .doc .docx

.rtf .xls .xlsx .odt .ppt .pptx .ai .xml .c .cpp .asm .js .php .cs .aspx .html .conf .sln .mdb

.asp .3fr .accdb .arw .bay .cdr .cer .cr2 .crt .crw .dbf .dcr .der .dng .dwg .dxf .dxg .eps

.erf .indd .kdc .mdf .mef .mrw .nef .nrw .odb .odp .ods .orf .p12 .p7b .p7c .pdd .pef

.pem .pfx .pst .ptx .r3d .raf .raw .rw2 .rwl .srf .srw .wb2 .wpd .jnt .pub .trc .gz .tar .jsp

.pl .py .rb .mpeg .msg .log .vob .max .3ds .3dm .db .cgi .jar .class .java .bak .pdb .apk

.sav .cbr .pkg .tar .gz .fla .h .sh .vb .vcxproj .XCODEPROJ .eml .emlx .mbx .vcf

<!--[if !mso]-->


[그림 4] 암호화 대상 파일 확장자 목록




[그림 5] 암호화 된 파일




암호화가 완료 된 뒤 암호화를 진행한 폴더 안에 안내문 파일을 생성하여 피해자에게 금전을 요구한다.



[그림 6] 암호화 후 생성된 랜섬웨어 안내문


4. 결론

최근 여러 가지 공격방법을 적용시켜 만든 랜섬웨어가 발견되고 있다. 이동식 디스크를 통한 전파방식은 근래에 많이 사용되지 않았기 때문에 사용자들이 방심할 수 있는 부분을 노린 것으로 보인다. 또한, 기업이나 단체에서의 파일 이동은 아직 이동 저장장치를 통해서 이뤄지는 곳이 많이 때문에 기업 내로 퍼질 경우 피해가 상당 할 것으로 생각된다. 


따라서 이동식 디스크의 자동실행을 수행하지 않도록 설정하는 것이 해당 랜섬웨어 뿐만 아닌 다른 악성코드에 대해서도 안전한 방법이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 에서는 USB 등 이동식 디스크의 자동실행을 방지하는 기능과 자동 검사가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[
그림 8nProtect Anti-Virus/Spyware V4.0 이동식 디스크 자동 실행 방지 기능 설정





[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면