상세 컨텐츠

본문 제목

[긴급] 올크라이(AllCry) 신종 랜섬웨어 유포 주의!

악성코드 분석 리포트

by 알약(Alyac) 2017. 9. 30. 16:39

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다.


한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다.


따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다.


올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. 



[그림 1] 올크라이 랜섬웨어 내부 코드 화면



내부에 난독화되어 숨겨진 코드를 분리하면 실제 닷넷 기반으로 만들어진 파일을 추출할 수 있게 됩니다.



[그림 2] 올크라이 랜섬웨어 난독화 코드 디코딩 과정



코드 내부에는 원본("allcrys.exe") 모듈명도 포함되어 있기도 하지만, 파일 속성값에는 저작권이 마이크로소프트로 위장되어 있고 "allcyrs" 이름으로 잘못된 오타도 포함되어 있습니다.



[그림 3] 올크라이 랜섬웨어 속성 값 오타 및 모듈명 화면



랜섬웨어가 작동되면 먼저 해킹된 것으로 추정되는 한국의 특정 웹 서버로 감염자의 하드웨어 코드를 전송하고, 응답을 대기하게 됩니다. 만약 응답이 정상적으로 수신되면 그때부터 암호화 작업이 시작됩니다. (현재는 통신 접속을 차단해 정상적으로 암호화 진행이 되지는 못합니다.)



[그림 4] 올크라이 랜섬웨어 한국 특정 서버로 감염자 정보 전송 화면



감염활동이 정상적으로 진행되면 Windows 운영체제 드라이브(C:\) 최상위 경로에 "allcry.exe" 이름의 다국어 지원 랜섬화면 파일을 생성합니다. 그리고 레지스트리를 조작해 ".allcry" 확장자로 암호화된 파일을 실행시 "allcry.exe" 파일이 실행되도록 조작합니다.



[그림 5] 올크라이 랜섬웨어 감염시 추가되는 레지스트리 화면



올크라이 랜섬웨어는 ".hwp" 문서 파일 뿐만 아니라 일부 암호화 대상 경로가 아닌 ".exe" 실행 파일들 역시 암호화가 되어 정상적인 프로그램 사용에 어려움이 발생할 수 있습니다.



[그림 6] 특정 확장자 파일들 감염시 암호화된 화면



랜섬웨어에 감염되면 바탕화면에 "readme.txt" 랜섬노트 파일을 생성하고 내부에는 영문으로 0.2 비트코인 지불을 요구하게 됩니다.


올크라이 랜섬웨어 제작자는 특이하게도 이메일 주소를 2개 사용합니다.



- allcy@alquds.com (이스라엘 메일 서비스)

- allcry@naij.com (나이지리아 메일 서비스)



[그림 7] 올크라이 랜섬노트와 한국어 지원 랜섬 화면



암호화된 ".allcry" 확장명이 추가된 파일이 실행되면 레지스트리 조작으로 인해 "allcry.exe" 파일이 작동되고 "allcry crypter" 타이틀을 가진 랜섬화면이 나오게 됩니다.


왼쪽 상단 메뉴를 통해 다국어(영어/중국어/한국어) 기능을 지원하며, 기본적으로는 영문으로 설정되어 있습니다. 한국어를 선택하게 되면 일부 오타가 포함된 한글 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일주소, 비트코인 지갑주소 등을 안내합니다.



[그림 8] 올크라이 랜섬웨어가 지원하는 다국어 언어 코드 내용



이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 한국의 유포지 및 명령제어서버(C2) 차단에 긴밀하게 협력하고 있습니다.


한국인터넷진흥원은 랜섬웨어가 통신하는 한국의 특정 웹 사이트 서버접속을 신속히 차단해 현재 보고된 올크라이 랜섬웨어는 감염되더라도 암호화 작동을 하지는 못하고 다음과 같은 오류창이 나타나게 됩니다. 



[그림 9] 올크라이 명령제어 서버 차단 후 발생하는 오류 창 화면



알약에서는 Trojan.Ransom.Allcry 탐지명으로 긴급 업데이트가 완료된 상태이며, 추석연휴 기간을 포함 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.




관련글 더보기

댓글 영역