[악성코드 분석] Hades Locker로 돌아온 WildFire 랜섬웨어

Hades Locker로 돌아온 WildFire 랜섬웨어 

---

1. 개요 

이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	update.exe
파일크기	510,026 byte
진단명	Ransom/W32.Hades.510026
악성동작	파일 드롭

 

구분	내용
파일명	Ronms.exe
파일크기	72,351,744 byte
진단명	Ransom/W32.Hades.72351744
악성동작	파일 암호화
네트워크	176.***.***.183 – 공격자 서버

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.

2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트

3. 악성 동작

3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.

[그림 2] 파일 드롭과 자동 실행 등록

사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 

3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트

암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach.acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[표 1] 암호화 대상 파일 확장자

3-3. 금전 요구

암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지

다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내

FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지

Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지

4. 결론

복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면