포스팅 내용

악성코드 분석 리포트

바탕화면을 한국어로 된 이미지로 변경하는 크라켄 랜섬웨어 (KrakenCryptor) 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 한국어로 된 이미지로 사용자 PC화면을 변경하는 크라켄 랜섬웨어 (KrakenCryptor) v.2.0.6과 v2.0.7이 발견되어 이용자들의 주의를 당부드립니다.


‘KrakenCryptor’ 랜섬웨어는 기존과 다르게 악성코드 분석을 방해하기 위해서 문자열들을 암호화하여 난독화를 시킵니다. 


또한 사용자 PC 언어설정이 아르메니아(AM), 아제르바이잔(AZ), 벨라루스(BY) 등 17개 국가로 설정이 되어있는 경우 암호화를 진행하지 않습니다. 다음은 암호화 환경을 확인하는 화면입니다.


[그림 1] 암호화 환경 확인 화면


‘KrakenCryptor’ 랜섬웨어는 400여개의 확장자를 대상으로 암호화를 진행합니다. 다음은 암호화 대상 확장자 목록입니다.


"1cd","3dm","3ds","3fr","3g2","3gp","3pr","7z","7zip","aac","ab4","abd","accdb","accde","accdr","accdt","ach",

"acr","act","adb","adp","ads","agdl","ai","aiff","ait","al","aoi","apj","arw","ascx","asf","asm","asp","aspx","asx",

"atb","avi","awg","back","backup","backupdb","bak","bank","bay","bdb","bgt","bik","bin","bkp","blend","bmp",

"bpw","c","cdb","cdf","cdr","cdr3","cdr4","cdr5","cdr6","cdrw","cdx","ce1","ce2","cer","cfg","cfn","cgm","cib",

"class","cls","cmt","config","contact","cpi","cpp","cr2","craw","crt","crw","cs","csh","cs","csl","css","csv","dac",

"dat","db","db3","dbf","dbx","db_journal","dc2","dcr","dcs","ddd","ddoc","ddrw","dds","def","der","des",

"design","dgc","dit","djvu","dng","doc","docm","docx","dot","dotm","dotx","drf","drw","dtd","dwg","dxb","dxf",

"dxg","edb","eml","eps","erbsql","erf","exf","fdb","ffd","fff","fh","fhd","fla","flac","flb","flf","flv","flvv","fpx","fxg",

"gif","gray","grey","groups","gry","h","hbk","hdd","hpp","html","ibank","ibd","ibz","idx","iif","iiq","incpas",

"indd","info","info_","ini","jar","java","jnt","jpe","jpeg","jpg","js","json","kc2","kdbx","kdc","key","kpdx","kwm",

"laccdb","lck","ldf","lit","lock","log","lua","m","m2ts","m3u","m4p","m4v","mab","mapimail","max","mbx","md",

"mdb","mdc","mdf","mef","mfw","mid","mkv","mlb","mmw","mny","moneywell","mos","mov","mp3","mp4",

"mpeg","mpg","mrw","msf","msg","myd","nd","ndd","ndf","nef","nk2","nop","nrw","ns2","ns3","ns4","nsd",

"nsf","nsg","nsh","nvram","nwb","nx2","nxl","nyf","oab","obj","odb","odc","odf","odg","odm","odp","ods",

"odt","ogg","oil","omg","orf","ost","otg","oth","otp","ots","ott","p7b","p7c","p12","pab","pages","pas","pat",

"pbf","pcd","pct","pdb","pdd","pdf","pef","pem","pfx","php","pif","pl","plc","plus_muhd","pm!","pm","pmi",

"pmj","pml","pmm","pmo","pmr","pnc","pnd","png","pnx","pot","potm","potx","ppam","pps","ppsm","ppsm",

"ppsx","ppt","pptm","pptm","pptx","prf","ps","psafe3","psd","pspimage","pst","ptx","pwm","py","qba","qbb",

"qbm","qbr","qbw","qbx","qby","qcow","qcow2","qed","qtb","r3d","raf","rar","rat","raw","rdb","rm","rtf","rvt",

"rw2","rwl","rwz","s3db","safe","sas7bdat","sav","save","say","sd0","sda","sdb","sdf","sh","sldm","sldx","sql",

"sqlite","sqlite-shm","sqlite-wal","sqlite3","sqlitedb","sr2","srb","srf","srs","srt","srw","st4","st5","st6","st7",

"st8","stc","std","sti","stm","stw","stx","svg","swf","sxc","sxd","sxg","sxi","sxm","sxw","tbb","tbn","tex","tga",

"thm","tlg","tlx","txt","usr","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","vob","wab","wad",

"wallet","war","wav","wb2","wma","wmf","wmv","wpd","wps","x3f","x11","xis","xla","xlam","xlk","xlm","xlr","xls",

"xlsb","xlsm","xlsx","xlt","xltm","xltx","xlw","xml","ycbcra","yuv","zip"


다음은 암호화 이전과 암호화 이후를 비교한 화면입니다. 암호화된 파일 확장자는 임의의 5자리 문자열로 변경됩니다.


 

[그림 2] 암호화 이전 및 이후 비교 화면


파일 암호화가 완료된 이후, 이용자에게 암호화된 파일을 복호화하기 위한 안내 파일인 랜섬노트(Instructions-[임의의 5자리 문자열].txt) 생성과 함께 바탕화면을 한국어 안내 이미지로 변경합니다.


[그림 3] 랜섬노트 파일 화면



[그림 4] 한국어 안내 이미지(KrakenCryptor v.2.0.6)


다음은 KrakenCryptor 버전 별 공격자 이메일 주소 정보입니다.


 

 KrakenCryptor v.2.0.6

 KrakenCryptor v.2.0.7

 E-Mail

 nikolatesla@cock.li

 onionhelp@memeware.net

 Alternative

 nikolateslaproton@protonmail.com

 BM-2cWdhn4f5UyMvruDBGs5bK77NsCFALMJkR@bitmessage.ch

[표 1] 공격자 이메일 주소 정보


따라서 랜섬웨어에 의한 피해를 막기 위해서는 중요한 자료들을 정기적으로 외장 매체에 백업하는 습관을 가져주시기 바랍니다.


알약에서는 관련 랜섬웨어를 ‘Trojan.Ransom.KrakenCryptor’로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage