포스팅 내용

악성코드 분석 리포트

[긴급] 올크라이(AllCry) 신종 랜섬웨어 유포 주의!



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다.


한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다.


따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다.


올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. 



[그림 1] 올크라이 랜섬웨어 내부 코드 화면



내부에 난독화되어 숨겨진 코드를 분리하면 실제 닷넷 기반으로 만들어진 파일을 추출할 수 있게 됩니다.



[그림 2] 올크라이 랜섬웨어 난독화 코드 디코딩 과정



코드 내부에는 원본("allcrys.exe") 모듈명도 포함되어 있기도 하지만, 파일 속성값에는 저작권이 마이크로소프트로 위장되어 있고 "allcyrs" 이름으로 잘못된 오타도 포함되어 있습니다.



[그림 3] 올크라이 랜섬웨어 속성 값 오타 및 모듈명 화면



랜섬웨어가 작동되면 먼저 해킹된 것으로 추정되는 한국의 특정 웹 서버로 감염자의 하드웨어 코드를 전송하고, 응답을 대기하게 됩니다. 만약 응답이 정상적으로 수신되면 그때부터 암호화 작업이 시작됩니다. (현재는 통신 접속을 차단해 정상적으로 암호화 진행이 되지는 못합니다.)



[그림 4] 올크라이 랜섬웨어 한국 특정 서버로 감염자 정보 전송 화면



감염활동이 정상적으로 진행되면 Windows 운영체제 드라이브(C:\) 최상위 경로에 "allcry.exe" 이름의 다국어 지원 랜섬화면 파일을 생성합니다. 그리고 레지스트리를 조작해 ".allcry" 확장자로 암호화된 파일을 실행시 "allcry.exe" 파일이 실행되도록 조작합니다.



[그림 5] 올크라이 랜섬웨어 감염시 추가되는 레지스트리 화면



올크라이 랜섬웨어는 ".hwp" 문서 파일 뿐만 아니라 일부 암호화 대상 경로가 아닌 ".exe" 실행 파일들 역시 암호화가 되어 정상적인 프로그램 사용에 어려움이 발생할 수 있습니다.



[그림 6] 특정 확장자 파일들 감염시 암호화된 화면



랜섬웨어에 감염되면 바탕화면에 "readme.txt" 랜섬노트 파일을 생성하고 내부에는 영문으로 0.2 비트코인 지불을 요구하게 됩니다.


올크라이 랜섬웨어 제작자는 특이하게도 이메일 주소를 2개 사용합니다.



- allcy@alquds.com (이스라엘 메일 서비스)

- allcry@naij.com (나이지리아 메일 서비스)



[그림 7] 올크라이 랜섬노트와 한국어 지원 랜섬 화면



암호화된 ".allcry" 확장명이 추가된 파일이 실행되면 레지스트리 조작으로 인해 "allcry.exe" 파일이 작동되고 "allcry crypter" 타이틀을 가진 랜섬화면이 나오게 됩니다.


왼쪽 상단 메뉴를 통해 다국어(영어/중국어/한국어) 기능을 지원하며, 기본적으로는 영문으로 설정되어 있습니다. 한국어를 선택하게 되면 일부 오타가 포함된 한글 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일주소, 비트코인 지갑주소 등을 안내합니다.



[그림 8] 올크라이 랜섬웨어가 지원하는 다국어 언어 코드 내용



이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 한국의 유포지 및 명령제어서버(C2) 차단에 긴밀하게 협력하고 있습니다.


한국인터넷진흥원은 랜섬웨어가 통신하는 한국의 특정 웹 사이트 서버접속을 신속히 차단해 현재 보고된 올크라이 랜섬웨어는 감염되더라도 암호화 작동을 하지는 못하고 다음과 같은 오류창이 나타나게 됩니다. 



[그림 9] 올크라이 명령제어 서버 차단 후 발생하는 오류 창 화면



알약에서는 Trojan.Ransom.Allcry 탐지명으로 긴급 업데이트가 완료된 상태이며, 추석연휴 기간을 포함 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.




저작자 표시
신고
  1. BlogIcon 안아쥬 2017.09.30 20:06 신고  수정/삭제  댓글쓰기

    꺅~~!!!!! 랜섬웨어요?!! 훔쳐갈 정보도 돈도 없지만 무서워서 랜선 다 뽑았습니다. 알약 윈도우10에서 왜케 문제많다고 하죠? ㅠㅠ저는 알약 밖에 모르는 알약바라기예요.. 알약 잘좀 신경써서고쳐주세요..♥잘부탁드립니당♥

    • BlogIcon 알약(Alyac) 2017.09.30 22:14 신고  수정/삭제

      안아쥬님, 안녕하세요! 알약을 사랑해주셔서 감사드립니다. 알약은 각종 신종위협에도 신속하고 정확하게 대응할 수 있도록 항상 최선을 다 하겠습니다. 감사합니다.

  2. 하이페리온군단장 2017.10.01 12:30 신고  수정/삭제  댓글쓰기

    또 포맷하면 그만 ㅇㅇ 내 노트북은 이미 게임기가 되었고 안그래도 꽉꽉 들어찬 용량 청소도 좀 하고

  3. 민준형 2017.10.02 22:02 신고  수정/삭제  댓글쓰기

    올크라이 알약 덕분에 큰 도움이 되었습니다.
    추석인데도 열심히 해주시는 분들이 있다는거에 감사합니다.

    • BlogIcon 알약(Alyac) 2017.10.03 09:51 신고  수정/삭제

      민준형님, 도움이 되셨다니 저희도 기쁩니다! :) 즐겁고 안전한 추석연휴 보내시기 바랍니다. 감사합니다.

  4. 샘플은요 2017.10.04 00:26 신고  수정/삭제  댓글쓰기

    올크라이 샘플은 어디서 획득할 수있나요??

    • BlogIcon 알약(Alyac) 2017.10.10 15:54 신고  수정/삭제

      안녕하세요. 보안 업체에서는 어떠한 목적이라도 개인에게 샘플 정보를 제공해 드리지 않습니다. 요청해주신 샘플 정보는 말씀드리기 어려운 점 양해 부탁드립니다. 감사합니다.

  5. 정말 2017.10.08 14:37 신고  수정/삭제  댓글쓰기

    안녕하세요 랜섬웨어는 악성코드중 바이러스의 한 종류인건가요?
    랜섬웨어는 정확히 어느 부분에 해당하는 건지 궁금합니다.

    • BlogIcon 알약(Alyac) 2017.10.10 15:54 신고  수정/삭제

      안녕하세요. '랜섬웨어'는 악성코드 종류 중 '트로이목마'에 해당이 되지만, 최근 하나의 분류로도 사용이 되고 있습니다. 감사합니다.

  6. 기기기라 2017.10.10 16:51 신고  수정/삭제  댓글쓰기

    특정 웹하드가 넷파일 맞나요?

    • BlogIcon 알약(Alyac) 2017.10.10 17:37 신고  수정/삭제

      안녕하세요. 웹하드 업체명은 말씀드리기 어렵습니다. 양해부탁드립니다.

      감사합니다.

티스토리 방명록 작성
name password homepage