[악성코드 분석] 크리스마스 이브에 유포된 DeriaLock 랜섬웨어

크리스마스 이브에 유포된 DeriaLock 랜섬웨어

1. 개요 

악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	DeriaLock.exe (임의의 파일명)
파일크기	581,632 bytes
진단명	Ransom/W32.Derialock.581632
악성동작	파일 암호화, 금전 요구
네트워크	a*********e.b*****d.net

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 새해가 되는 시점 또한 주의하여야 한다.

2-3. 실행 과정

현재 발견된 DeriaLock 랜섬웨어는 파일을 암호화 시키지 않고 화면만을 잠근다. 화면을 잠근 후 사용자가 해당 프로세스를 종료할 수 없도록 ‘cmd.exe’ 와 ‘taskmgr.exe’ 등을 종료시킨다.

3. 악성 동작

3-1. 프로세스 종료

DeriaLock 랜섬웨어는 특정 프로세스를 찾아 종료한다.

[그림 1] 프로세스 종료

대상이 되는 프로세스는 아래와 같다. cmd.exe, taskmgr.exe 등을 강제로 종료하여 사용자가 악성 프로세스를 종료 시키지 못하도록 한다.

대상 프로세스 목록
taskmgr	regedit	msconfig	utilman
cmd	explorer	certmgr	control
cscript	procexp	procexp32	procexp64

[표 1] 대상 프로세스 목록

3-2. 화면 잠금

해당 랜섬웨어는 파일을 암호화하는 대신 아래와 같이 화면을 잠근다. 이로 인해 사용자는 해당 화면 외에 다른 화면을 볼 수가 없어 아무런 동작을 할 수 없게 된다.

[그림 2] 화면 잠금

3-3. 기타

랜섬웨어 개발자는 본인의 PC를 실수로 감염시키는 것을 방지하기 위하여 컴퓨터 고유의 해시 값을 확인한다. 제작자가 지정한 해당 해시 값을 갖는 PC 의 경우 화면 잠금 동작을 수행하지 않고 프로그램이 종료된다.

[그림 3] 컴퓨터 고유의 해시 값 비교

추가적인 파일을 특정 주소로부터 다운 받는다. 다운로드에 성공할 경우 해당 프로그램을 시작 메뉴 폴더에 ‘SystemLock.exe’ 라는 이름으로 저장한다. 이로 인해 PC 가 사용자가 PC 를 끄고 다시 로그온을 하면 해당 프로그램이 실행된다.

[그림 4] 파일 다운로드

4. 결론

해당 랜섬웨어는 아직 다른 랜섬웨어와 같이 큰 피해를 유발하지는 않지만, 추후 다른 변종이 활성화 될 경우 점차 그 피해가 커질 것이다. 2016년 한해를 마무리 짓고 2017년의 시작을 준비하는 이때, 랜섬웨어로 인한 피해를 주의하여야 한다.

랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.

해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면