분석 정보/랜섬웨어 분석 정보

[악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어

TACHYON & ISARC 2016. 9. 13. 11:13

지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석





1. 개요 


일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

encasvc.exe

파일크기

456,192 byte

진단명

Ransom/W32.Agent.456192

악성동작

파일 암호화

네트워크

31.***.***.116

 




2-2. 실행 과정

랜섬웨어는 실행되면 공격자가 지정한 경로에 있는 모든 파일을 찾는다. 다른 랜섬웨어와는 다르게 특정 확장자를 검색하는 것이 아니라, 해당 경로의 모든 파일을 암호화 한다. 암호화 된 파일은 파일 이름에 “_nullbyte” 라는 문자가 뒤에 덧붙여진다. 암호화가 완료된 뒤 화면 잠금 기능으로 랜섬노트를 출력한다.





3. 악성 동작


3-1. 파일 암호화

랜섬웨어는 지정된 경로에 있는 모든 파일을 암호화한다. 지정된 경로는 사용자 계정 하위에 위치하고 있는 기본 폴더들로 다운로드, 바탕화면, 문서 등 아래의 표와 같다. 암호화된 파일은 기존 이름 뒤에 “_nullbyte” 라는 문자가 덧붙여진다.


 %USERPROFILE%\Documents

 %USERPROFILE%\Favorites

 %USERPROFILE%\Music

 %USERPROFILE%\Contacts

 %USERPROFILE%\Downloads

 %USERPROFILE%\Pictures

 %USERPROFILE%\Videos

 %USERPROFILE%\Desktop

[표 1] 암호화 대상 경로


[그림 1] 암호화된 파일[그림 1] 암호화된 파일





3-2. 사용자 조작 방해

암호화가 완료되면 랜섬웨어는 아래와 같은 랜섬노트를 출력한다. 랜섬노트는 화면 잠금 방식으로 출력되기 때문에 사용자 PC 화면에 계속 나타나 있다. 랜섬노트에는 사용자에게 0.1 비트코인을 요구하고 있으며 결제를 위한 QR 코드와 주소를 안내하고 있다.

[그림 2] 화면 잠금 방식의 랜섬노트[그림 2] 화면 잠금 방식의 랜섬노트



사용자는 화면 잠금 방식의 랜섬노트때문에 PC 사용의 제약을 받게 된다. 또한, 명령 프롬프트(CMD.exe)와 작업 관리자(TASKMGR.exe)를 사용하지 못하도록 실행하려는 해당 프로세스를 계속해서 종료한다. 이는 화면 잠금 기능을 사용자가 강제로 종료시키는 것을 방지하기 위한 것으로 보인다.

[그림 3] 사용자 조작 방해[그림 3] 사용자 조작 방해





4. 결론


랜섬웨어는 그 종류나 변형도에 따라 기존과는 다르게 행동하는 경우가 종종 있다. 해당 랜섬웨어는 문서 관련 파일 뿐만 아니라 지정된 경로의 모든 파일을 암호화 한다. 이는 중요 문서뿐만 아니라, 모든 파일에 대해 백업이 필요하다는 것을 알려 준다. 랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이나 의심스러운 파일의 실행은 자제 하여야 한다. 무엇보다 백신 제품을 설치하고 최신 업데이트를 유지하는 것이 중요 하다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면