[악성코드 분석] 파일을 제거하는 랜섬웨어, Ranscam 분석

파일을 제거하는 랜섬웨어, Ranscam 분석

---

1. 개요 

랜섬웨어는 파일을 인질로 사용자에게 금전을 요구한다. 최근 국외에서는 파일을 암호화하는 대신 파일을 삭제하는 랜섬웨어가 잇달아 등장하고 있다. 6월 말 Anonpop 랜섬웨어가 나온 이후 최근엔 Ranscam 랜섬웨어가 전파되고있다.

두 랜섬웨어 모두 암호화된 파일을 복호화하는 대가로 금액을 요구한다. 하지만 금액을 지불한다고 하더라도 암호화된 파일을 확인하면 복호화되지 않고 제거되어 있다. 이렇게 이른바 가짜(Fake) 랜섬웨어라고도 불리는 ‘삭제형 랜섬웨어' 중 하나인 Ranscam에 대해 이번 보고서를 통해 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	winstrsp.exe
파일크기	2,508,224 byte
진단명	Trojan.GenericKD.3380145
악성동작	드롭퍼, 파일 제거

 

구분	내용
파일명	winopen.exewinopen.exe
파일크기	217,600 byte
진단명	Trojan/W32.FakeLocker.217600
악성동작	화면 잠금, 공격자 서버와 통신

 

2-2. 실행 과정

winstrsp.exe 는 AppData 폴더 하위에 자신을 복제하며, 임시 폴더 하위에 임의의 이름을 가진 XML 파일을 생성한다. 생성된 XML 파일은 예약 작업에 등록되며, PC 실행 시에 동작하여 복제된 winstrsp.exe 를 실행한다. 이를 통해 실행된 악성코드는 배치 파일과 winopen.exewinopen.exe 를 생성하고 실행한다. 배치 파일은 사용자 파일 제거 동작과 Payment_Instructions.jpg 를 다운받으며, winopen.exewinopen.exe 는 사용자가 바탕화면이나 다른 작업을 이용할 수 없도록 화면을 잠그는 역할을 한다.

[그림] 악성코드 동작 과정

감염된 사용자 화면에는 아래와 같이 컴퓨터와 파일이 암호화 됐다는 화면과 함께 금전을 요구하는 랜섬노트가 나타난다.

[그림] 감염된 사용자 화면

3. 악성 동작

3-1. 예약 작업 등록 및 PC 종료

winstrsp.exe 는 임의의 XML 파일을 생성한다. XML 파일에는 AppData 경로 하위에 복제한 자기 자신을 실행하는 내용의 명령어를 담고 있다.

[그림] 생성된 XML 파일

XML 파일을 생성한 후 윈도우 예약 작업 관리 도구인 schtasks.exe 를 통해 XML 파일을 예약 작업에 등록한다. 등록된 예약 작업은 “Update” 폴더 하위에 아래와 같은 이름으로 등록되어 로그온할 때 작업이 실행되도록 한다.

schtasks.exe /Create /TN “Update\임의의 문자열” /XML “%Temp%\z***”

[표] schtasks.exe 를 통한 예약 작업 등록

[그림] 등록된 예약 작업

3-2. 파일 제거

예약 작업을 통해 winstrsp.exe 가 실행되면 새로운 배치 파일을 생성한다. 배치 파일은 파일 삭제나 파일 복구 관련 도구 제거, 작업 관리자 실행 방해 등의 동작을 수행한다. 아래 코드와 같은 방식으로 지정한 경로의 파일과 폴더를 삭제하는 것을 확인할 수 있다.

[그림] 파일과 폴더 제거

Anonpop 은 주로 사용자 폴더 하위의 파일을 목표로 삭제를 시도했다면, Ranscam 은 이에 더해 “Mozilla Firefox”, “Internet Explorer” 와 같이 인터넷 브라우저와 관련된 경로의 파일도 제거한다. Ranscam 이 대상으로 하는 폴더의 위치는 아래의 표와 같다.

%USERPROFILE%\Documents\*	C:\Program Files\Internet Explorer\*
%USERPROFILE%\Downloads\*	C:\Program Files\Opera\*
%USERPROFILE%\Pictures\*	C:\Program Files (x86)\Internet Explorer\*
%USERPROFILE%\Music\*	C:\Program Files (x86)\Google\*
%USERPROFILE%\Videos\*	C:\Program Files (x86)\Mozilla Firefox\*
%USERPROFILE%\Contacts\*	C:\Program Files (x86)\Opera\*
%USERPROFILE%\Favorites\*	%AppData%\Local\Temp\*"
%USERPROFILE%\Searches\*	%USERPROFILE%\Desktop\*
C:\Program Files\Google\*	C:\Windows\System32\Restore\*
C:\Program Files\Windows Defender\*	C:\$RECYCLE.BIN
C:\Program Files\Mozilla Firefox\*	D:\ ~ I:\

[표] 지정된 경로

vssadmin.exe 와 rstrui.exe 파일 제거 시도를 확인할 수 있다. vssadmin.exe 는 볼륨 섀도 복사본을 관리하기 위한 도구이며, rstrui.exe 는 시스템 복원과 관련된 도구이다. 이 두 동작은 감염 이전으로 PC 를 되돌리는 것을 방지하기 위한 것으로 볼 수 있다.

[그림] VSS 와 시스템 복원 제거

3.3 사용자 행동 제한

레지스트리 ‘DisableTaskMgr’ 를 1로 설정해 작업 관리자 실행을 방해한다. 사용자는 작업 관리자를 사용할 수 없게 되어 악성 프로세스를 종료할 수 없게 된다.

[그림] 작업 관리자 실행 방해

사용자가 안전모드로 부팅하는 것을 방해하기 위해, 이와 관련된 레지스트리 제거를 시도한다. 만약 아래의 값들이 지워지면 안전모드로 부팅이 되지 않는다.

[그림] 안전 모드 부팅 방해

3-4. 기타 행위

Windows 에 포함되어 있는 Power Shell 명령어를 사용하여 랜섬노트 이미지 파일을 다운로드한다.

[그림] PowerShell 을 통한 사진 다운로드

다운로드한 이미지는 winstrsp.exe 가 생성하는 winopen.exewinopen.exe 를 통해 윈도우로 출력된다. 생성된 EXE 파일은 또한 화면 잠금 동작을 수행해 사용자가 이 화면 외에 다른 화면은 볼 수 없도록 한다. 우측 하단에 이메일 주소와 메시지를 보내면 해당 이메일을 통해 결제 안내 메시지를 받을 수 있다.

[그림] 공격자에게 메일 전송

[그림] 공격자로부터 온 메일

4. 결론

해당 랜섬웨어는 파일을 암호화시키는 것이 아니라 단순히 삭제하기 때문에 디스크에 데이터가 남아있어 복구툴을 이용해 파일을 복구할 수 있다. 하지만 삭제형 랜섬웨어가 다른 형태로 변형되어 파일을 삭제하기 전 원본 데이터를 덮어씌운다면 복구 툴을 사용하더라도 복구가 어려워 진다. 

그러므로 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져 랜섬웨어 공격을 사전에 방지해야 한다.

해당 Ranscam 과 화면 잠금 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면