[악성코드 분석] 말하는 랜섬웨어 Cerber 2

말하는 랜섬웨어 Cerber 2 분석 보고서

---

1. 개요

말하는 랜섬웨어로 유명한 Cerber 랜섬웨어는 파일 암호화가 완료되면 .vbs 파일을 통해 사용자에게 암호화 사실을 알려준다. 2016년 4월에서 5월 중에 CryptoWall 과 Locky 랜섬웨어 다음으로 많이 유포되었던 Cerber 렌섬웨어(출처 Fortinet Blog)는 최근 새로운 버전으로 다시 유포되기 시작했는데, 기존과는 다르게 확장자가 ‘.cerber2’로 변경되어 있다.

이번 분석 보고서에서는 새로운 버전으로 나타난 Cerber2 랜섬웨어에 대하여 알아보고자 한다.

[그림] ’16.04.01 – ’16.05.15 랜섬웨어 유포 통계 (출처: FORTINET)

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	cerber2.exe (임의의 파일명)
파일크기	248,965 byte
진단명	Ransom/W32.Cerber.248965
악성동작	파일 암호화

2-2. 실행 과정

Cerber 랜섬웨어가 실행되면 사용자 PC 파일 암호화 동작을 수행한다. 암호화된 파일은 ‘.cerber2’ 라는 확장자와 암호화된 이름의 파일명으로 변경된다. 그리고 각 폴더에 “# DECRYPT MY FILE #” 이라는 이름의 랜섬노트들을 생성한다. 그리고 파일 암호화가 완료되면 “# DECRYPT MY FILE #.vbs” 파일을 실행하여 파일 암호화를 알려주는 음성 메시지를 출력한다.

[그림 1] 암호화된 파일과 랜섬노트

감염된 사용자 PC 의 바탕화면은 아래의 그림과 같이 변경된다.

[그림 2] 감염된 PC 화면

3. 악성 동작

3-1. 자동 실행 등록

Cerber 랜섬웨어는 System32 폴더 하위에 존재하는 임의의 파일 이름으로 자신을 복사한다. 그리고 복사된 Cerber 는 파일 암호화를 완료하기 위해 자동 실행에 등록한다. 이를 통해 암호화 도중 PC 가 종료되어도 PC 부팅 시 다시 암호화를 시작하도록 한다. 아래와 같이 시작프로그램에 링크 파일을 생성한 것을 확인할 수 있다.

[그림 3] 시작프로그램에 생성된 링크 파일

Cerber 는 레지스트리 ‘Run’, ‘RunOnce’ 에 자신을 등록하므로 중간에 PC 가 종료되더라도, 재부팅 시 다시 실행되도록 한다. 그리고 ‘Control Panel\Desktop’ 에 SCRNSAVE.EXE 에 랜섬웨어의 경로를 등록해준다. 이는 사용자가 지정된 대기 시간 동안 아무 행동을 하지 않을 때 켜지는 화면보호기를 랜섬웨어로 지정해준 것이다. 이를 통해 화면 보호기 대신 랜섬웨어가 실행된다.

[그림 4] 자동 실행 등록

3-2. 프로세스 종료

현재 실행 중인 특정 프로세스가 있다면 이를 종료한다. 대상 프로세스는 문서, 메신저 등의 프로그램이다. 하나의 파일을 서로 다른 프로그램에서 동시에 수정할 수는 없기에, PC 에 존재하는 모든 파일을 암호화하기 위해 강제로 프로세스를 종료하는 것으로 보인다.

구분	내용
종료 대상 프로세스	excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe steam.exe	sqlservr.exe thebat.exe thebat64.exe thunderbird.exe visio.exe winword.exe wordpad.exe

[표 1] 종료 대상 프로세스

3-3. 파일 암호화

실행된 랜섬웨어는 아래 확장자를 가진 파일에 대해 암호화를 진행하며, 암호화된 파일의 확장자를 .cerber2 로 변경한다.

구분

내용

암호화 대상 확장자

.accdb .mdb .mdf .dbf .db .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt .pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm .xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd .pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx .money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .vpd .sqlite-shm .sqlite-wal

[표 2] 암호화 대상 확장자 목록

파일의 내용이 암호화 되면 기존에 읽을 수 있던 텍스트 파일도 아래와 같이 읽을 수 없는 형태로 나타나는 것을 확인할 수 있다.

[그림 5] 원본 파일(상)과 암호화된 파일(하) 내용

해커는 감염 PC 에 파일 복호화에 대한 비용 지불을 안내한다. 5 일 이내에 지불 할 경우 1.7029 비트코인이지만, 5 일이 지날 경우 2 배에 가까운 3.4058 비트코인을 요구한다.

[그림 6] 결제 금액 요구

4. 결론

Cerber 렌섬웨어는 Raas(Ransomware as a Service) 로, 랜섬웨어를 제작하여 배포하는 집단이 존재하고 있다. 수익을 창출하려는 랜섬웨어 제작자 입장에서 더욱 정교한 랜섬웨어를 만들어 해커에게 판매 및 배포하고자 할 것이다. 정교해지고 있는 랜섬웨어에 따른 피해는 결국 사용자에게 전가된다. 분석한 Cerber 랜섬웨어도 많이 유포되고 있는 만큼 언제든 변형되어 국내에 유입될 수 있으므로 사전에 예방할 수 있도록 주의를 기울여야 한다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능