[분석보고서] Trojan.Ransom.LockyCrypt 분석보고서

Trojan.Ransom.LockyCrypt 분석보고서

악성파일 분석(zxcvb.exe)

  

Locky 랜섬웨어는 최근에는 자바스크립트로 유포되고 있지만 이전에는 이메일에 word파일을 첨부하고 word파일을 실행하면 매크로가 포함되어 Locky 랜섬웨어를 다운로드 받게 되어 있었습니다.

문서파일을 실행하면 보안 경고가 뜨면서 매크로를 사용할지 나옵니다. 

[그림 1] 문서 파일에 포함되어 있는 매크로

매크로는 배열을 복호화 하여 명령어를 생성하며, 해당 명령어를 실행하면 파일을 다운로드 하고 실행하게 됩니다. 

[그림 2] doc파일에 포함되어 있는 VBA 매크로

문자열을 복호화하면 다음과 같은 명령어가 나오며, 특정 url에서 파일을 다운로드 받는 것을 알 수 있습니다.

[그림 3] 복호화된 명령어

현재는 자바스크립트로 Locky랜섬웨어가 유포되고 있으며 자바스크립트는 난독화되어 있으며 실행하게 되면 VBA매크로와 마찬가지로 특정 URL에서 파일을 다운로드 받고 실행하게 됩니다.

[그림 4] 자바스크립트로 유포

파일이 실행되면 특정 IP에 접속하여 키 값을 받아오며 접속 실패 시 IP를 바꿔가면서 접속시도 합니다.

[그림 5] 키 값을 받아오는 IP

Locky 랜섬웨어는 레지스트리에 locky라는 키 값을 생성하여 암호화 할 키 값을 레지스트리에 임시로 기록하여 사용합니다. 

[그림 6] 레지스트리 Locky 생성

로컬 정보를 수집하고 조합하여 ID값을 생성하며 서버에서 받아온 키 값을 임시로 레지스트리에 기록해 놓습니다.

[그림 7] ID 생성 및 키 값 기록

ID값과 현재 시스템의 언어 정보를 서버로 전송하며,결제에필요한 URL 및 정보들을 받아옵니다. 

[그림 8] 정보 전송 및 결제정보 수신

실행되는 프로그램 이름이 svchost.exe가 아니면 임시 폴더로 svchost.exe로 복사한 후 재실행 합니다. 

[그림 9] 프로그램 이름 확인

레지스트리에 자동 실행을 등록합니다.

[그림 10] 자동실행 등록 확인

A 드라이브부터 설치된 드라이브를 순회하면서 조건에 맞는 드라이브는 암호화 작업을 진행합니다.

[그림 11] 로컬 드라이브 탐색

네트워크로 연결된 드라이브도 순회하면서 특정 조건에 맞는 드라이브는 암호화 작업을 합니다.

[그림 12] 네트워크 드라이브 탐색

볼륨 쉐도우 카피를 삭제해서 윈도우 복원을 하지 못하게 막습니다. 

[그림 13] 볼륨 쉐도우 카피 삭제

암호화가 진행되면 폴더마다 안내 텍스트를 생성합니다.

[그림 14] 암호화 진행 로직

서버에서 받아온 키 값으로 파일을 암호화 하며 확장자는 locky로 생성합니다. 

[그림 15] 파일 암호화

파일 암호화가 끝나면 ID값과 암호화 결과 상태를 서버로 전송합니다. 

[그림 16] 전송할 데이터 생성

악성코드 하나에 IP가 여러 개 존재하므로 키 값을 받아온 서버에 맞는 IP로 정보를 전송합니다. 

[그림 17] 암호화 결과 전송

암호화가 끝나면 레지스트리에completed라는키값을 쓰게 되며 임시로 기록해 두었던 레지스트리 Locky에 있던 데이터들은 삭제합니다. 

[그림 18] Locky 데이터 삭제

Locky 랜섬웨어가 암호화 시키는 확장자는 다음과 같습니다. hwp 확장자가 포함되어 있는 것으로 보아 한국도 타겟으로 하고 있는 것을 확인할 수 있습니다. 

Locky랜섬웨어의 파일 암호화가 끝나면 다음과 같은 그림 파일을 열어 안내 메시지를 보여줍니다.

[그림 19] 그림파일로 된 안내 메시지

그림파일로 안내메시지를 생성한 것과 마찬가지로 텍스트도 안내메시지를 보여줍니다.

[그림 20] 텍스트로 된 안내 메시지

파일이 암호화되면 확장자에 “.locky”라는 확장자가 붙게 되며 해당 폴더에 내 메시지를 같이 생성 놓습니다.

[그림 21] 암호화된 파일

안내하는 해당 홈페이지에 접속하면 비트코인으로 결제하면 파일을 복호화해준다는 홈페이지를 볼 수 있습니다.

[그림 22] locky랜섬웨어 결제 페이지

홈페이지 상단에 언어 선택 드롭박스가 있으며 다양한 국가를 타겟으로 활동하는 것을 확인할 수 있습니다.

[그림 23] 홈페이지 언어 선택 부분

랜섬웨어는 보통 토르브라우저로 접속을 유도하는데 Locky랜섬웨어는 onion사이트를 일반 브라우저에서도 접속이 가능하게 유도하고 있습니다.

[그림 24] 일반 브라우저에서 onion사이트 접속

결론

Locky 랜섬웨어는 지금도 활발히 유포중에 있습니다. 

Locky 랜섬웨어가 주로 이메일을 통하여 유포되는 만큼 출처가 불분명한 사용자에게서 온 이메일에 첨부된 파일은 열어보지 말아야 합니다. 또한 최근에는 많은 랜섬웨어들이 Exploit kit을 통해서도 유포되기 때문에, 항상 SW 버전 및 윈도우 버전을 최신으로 유지하셔야 합니다. 또한 알약과 같은 랜섬웨어 차단 기능이 있는 백신을 이용한다면, 랜섬웨어의 위협에서 보다 안전할 수 있습니다.