포스팅 내용

악성코드 분석 리포트

한국을 겨냥한 MyRansom 랜섬웨어 유포 주의



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 


해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다.


[그림 1] 한국 언어 환경을 확인하는 코드


MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다.


"doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx", "csv", "rtf", "123", "wks", "wk1", "pdf", "dwg", "onetoc2", "snt", "docb", "docm", "dot", "dotm", "dotx", "xlsm", "xlsb", "xlw", "xlt", "xlm", "xlc", "xltx", "xltm", "pptm", "pot", "pps", "ppsm", "ppsx", "ppam", "potx", "potm", "edb", "hwp", "602", "sxi", "sti", "sldx", "sldm", "vdi", "vmx", "gpg", "aes", "raw", "cgm", "nef", "psd", "ai", "svg", "djvu", "sh", "class", "jar", "java", "rb", "asp", "php", "jsp", "brd", "sch", "dch", "dip", "p", "vb", "vbs", "ps1", "js", "asm", "h", "pas", "cpp", "c", "cs", "suo", "sln", "ldf", "mdf", "ibd", "myi", "myd", "frm", "odb", "dbf", "db", "mdb", "accdb", "sq", "sqlitedb", "sqlite3", "asc", "lay6", "lay", "mm", "sxm", "otg", "odg", "uop", "std", "sxd", "otp", "odp", "wb2", "slk", "dif", "stc", "sxc", "ots", "ods", "3dm", "max", "3ds", "uot", "stw", "sxw", "ott", "odt", "pem", "p12", "csr", "crt", "key", "pfx", "der", "1cd", "cd", "arw", "jpe", "eq", "adp", "odm", "dbc", "frx", "db2", "dbs", "pds", "pdt", "dt", "cf", "cfu", "mx", "epf", "kdbx", "erf", "vrp", "grs", "geo", "st", "pff", "mft", "efd", "rib", "ma", "lwo", "lws", "m3d", "mb", "obj", "x", "x3d", "c4d", "fbx", "dgn", "4db", "4d", "4mp", "abs", "adn", "a3d", "aft", "ahd", "alf", "ask", "awdb", "azz", "bdb", "bib", "bnd", "bok", "btr", "cdb", "ckp", "clkw", "cma", "crd", "dad", "daf", "db3", "dbk", "dbt", "dbv", "dbx", "dcb", "dct", "dcx", "dd", "df1", "dmo", "dnc", "dp1", "dqy", "dsk", "dsn", "dta", "dtsx", "dx", "eco", "ecx", "emd", "fcd", "fic", "fid", "fi", "fm5", "fo", "fp3", "fp4", "fp5", "fp7", "fpt", "fzb", "fzv", "gdb", "gwi", "hdb", "his", "ib", "idc", "ihx", "itdb", "itw", "jtx", "kdb", "lgc", "maq", "mdn", "mdt", "mrg", "mud", "mwb", "s3m", "ndf", "ns2", "ns3", "ns4", "nsf", "nv2", "nyf", "oce", "oqy", "ora", "orx", "owc", "owg", "oyx", "p96", "p97", "pan", "pdb", "pdm", "phm", "pnz", "pth", "pwa", "qpx", "qry", "qvd", "rctd", "rdb", "rpd", "rsd", "sbf", "sdb", "sdf", "spq", "sqb", "stp", "str", "tcx", "tdt", "te", "tmd", "trm", "udb", "usr", "v12", "vdb", "vpd", "wdb", "wmdb", "xdb", "xld", "xlgc", "zdb", "zdc", "cdr", "cdr3", "abw", "act", "aim", "ans", "apt", "ase", "aty", "awp", "awt", "aww", "bad", "bbs", "bdp", "bdr", "bean", "bna", "boc", "btd", "cnm", "crw", "cyi", "dca", "dgs", "diz", "dne", "docz", "dsv", "dvi", "dx", "eio", "eit", "emlx", "epp", "err", "etf", "etx", "euc", "faq", "fb2", "fb", "fcf", "fdf", "fdr", "fds", "fdt", "fdx", "fdxt", "fes", "fft", "flr", "fodt", "gtp", "frt", "fwdn", "fxc", "gdoc", "gio", "gpn", "gsd", "gthr", "gv", "hbk", "hht", "hs", "htc", "hz", "idx", "ii", "ipf", "jis", "joe", "jp1", "jrtf", "kes", "klg", "knt", "kon", "kwd", "lbt", "lis", "lit", "lnt", "lp2", "lrc", "lst", "ltr", "ltx", "lue", "luf", "lwp", "lyt", "lyx", "man", "map", "mbox", "me", "mel", "min", "mnt", "mwp", "nfo", "njx", "now", "nzb", "ocr", "odo", "of", "oft", "ort", "p7s", "pfs", "pjt", "prt", "psw", "pu", "pvj", "pvm", "pwi", "pwr", "qd", "rad", "rft", "ris", "rng", "rpt", "rst", "rt", "rtd", "rtx", "run", "rzk", "rzn", "saf", "sam", "scc", "scm", "sct", "scw", "sdm", "sdoc", "sdw", "sgm", "sig", "sla", "sls", "smf", "sms", "ssa", "sty", "sub", "sxg", "tab", "tdf", "tex", "text", "thp", "tlb", "tm", "tmv", "tmx", "tpc", "tvj", "u3d", "u3i", "unx", "uof", "upd", "utf8", "utxt", "vct", "vnt", "vw", "wbk", "wcf", "wgz", "wn", "wp", "wp4", "wp5", "wp6", "wp7", "wpa", "wpd", "wp", "wps", "wpt", "wpw", "wri", "wsc", "wsd", "wsh", "wtx", "xd", "xlf", "xps", "xwp", "xy3", "xyp", "xyw", "ybk", "ym", "zabw", "zw", "abm", "afx", "agif", "agp", "aic", "albm", "apd", "apm", "apng", "aps", "apx", "art", "asw", "bay", "bm2", "bmx", "brk", "brn", "brt", "bss", "bti", "c4", "ca", "cals", "can", "cd5", "cdc", "cdg", "cimg", "cin", "cit", "colz", "cpc", "cpd", "cpg", "cps", "cpx", "cr2", "ct", "dc2", "dcr", "dds", "dgt", "dib", "djv", "dm3", "dmi", "vue", "dpx", "wire", "drz", "dt2", "dtw", "dv", "ecw", "eip", "exr", "fa", "fax", "fpos", "fpx", "g3", "gcdp", "gfb", "gfie", "ggr", "gih", "gim", "spr", "scad", "gpd", "gro", "grob", "hdp", "hdr", "hpi", "i3d", "icn", "icon", "icpr", "iiq", "info", "ipx", "itc2", "iwi", "j", "j2c", "j2k", "jas", "jb2", "jbig", "jbmp", "jbr", "jfif", "jia", "jng", "jp2", "jpg2", "jps", "jpx", "jtf", "jw", "jxr", "kdc", "kdi", "kdk", "kic", "kpg", "lbm", "ljp", "mac", "mbm", "mef", "mnr", "mos", "mpf", "mpo", "mrxs", "my", "ncr", "nct", "nlm", "nrw", "oc3", "oc4", "oc5", "oci", "omf", "oplc", "af2", "af3", "asy", "cdmm", "cdmt", "cdmz", "cdt", "cmx", "cnv", "csy", "cv5", "cvg", "cvi", "cvs", "cvx", "cwt", "cxf", "dcs", "ded", "dhs", "dpp", "drw", "dxb", "dxf", "egc", "emf", "ep", "eps", "epsf", "fh10", "fh11", "fh3", "fh4", "fh5", "fh6", "fh7", "fh8", "fif", "fig", "fmv", "ft10", "ft11", "ft7", "ft8", "ft9", "ftn", "fxg", "gem", "glox", "hpg", "hpg", "hp", "idea", "igt", "igx", "imd", "ink", "lmk", "mgcb", "mgmf", "mgmt", "mt9", "mgmx", "mgtx", "mmat", "mat", "ovp", "ovr", "pcs", "pfv", "plt", "vrm", "pobj", "psid", "rd", "scv", "sk1", "sk2", "ssk", "stn", "svf", "svgz", "tlc", "tne", "ufr", "vbr", "vec", "vm", "vsdm", "vstm", "stm", "vstx", "wpg", "vsm", "xar", "ya", "orf", "ota", "oti", "ozb", "ozj", "ozt", "pa", "pano", "pap", "pbm", "pc1", "pc2", "pc3", "pcd", "pdd", "pe4", "pef", "pfi", "pgf", "pgm", "pi1", "pi2", "pi3", "pic", "pict", "pix", "pjpg", "pm", "pmg", "pni", "pnm", "pntg", "pop", "pp4", "pp5", "ppm", "prw", "psdx", "pse", "psp", "ptg", "ptx", "pvr", "px", "pxr", "pz3", "pza", "pzp", "pzs", "z3d", "qmg", "ras", "rcu", "rgb", "rgf", "ric", "riff", "rix", "rle", "rli", "rpf", "rri", "rs", "rsb", "rsr", "rw2", "rw", "s2mv", "sci", "sep", "sfc", "sfw", "skm", "sld", "sob", "spa", "spe", "sph", "spj", "spp", "sr2", "srw", "wallet", "jpeg", "jpg", "vmdk", "arc", "paq", "bz2", "tbk", "bak", "tar", "tgz", "gz", "7z", "rar", "zip", "backup", "iso", "vcd", "bmp", "png", "gif", "tif", "tiff", "m4u", "m3u", "mid", "wma", "flv", "3g2", "mkv", "3gp", "mp4", "mov", "avi", "asf", "mpeg", "vob", "mpg", "wmv", "fla", "swf", "wav", "mp3"

[표 1] 암호화 대상 확장자 문자열


다음은 암호화 제외 경로 문자열입니다. 이를 통해 불필요한 암호화를 하지 않으려는 것으로 보여집니다.


"\documents and settings\all users\"

"\documents and settings\default user\"

"\documents and settings\localservice\"

"\documents and settings\networkservice\"

"\appdata\local\"

"\appdata\locallow\"

"\appdata\roaming\"

"\local settings\"

"\public\music\sample music\"

"\public\pictures\sample pictures\"

"\public\videos\sample videos\"

"\tor browser\"

"\$recycle.bin"

"\$windows.~bt"

"\$windows.~ws"

"\boot"

"\intel"

"\msocache"

"\perflogs"

"\program files (x86)"

"\program files"

"\programdata"

"\recovery"

"\recycled"

"\recycler"

"\system volume information"

"\windows.old"

"\windows10upgrade"

"\windows"

"\winnt"

[표 2] 암호화 대상 제외 경로 문자열


파일 암호화 진행 간 대상 파일을 'ihsdj'로 확장자를 변경합니다. MyRansom 랜섬웨어 변종에 따라 확장자를 'kgpvwnr'로 변경하는 경우가 있으니 참고 바랍니다.


[그림 2] 암호화 대상 파일의 확장자를 변경하는 화면


암호화가 완료된 경우 이용자에게 암호화된 사실을 알리기 위해 랜섬노트 텍스트 파일을 실행하여 보여줍니다. 랜섬노트는 '당신의 파일은 손상된 것이 아니라 수정이 되었을 뿐이며, 수정된 파일을 원래대로 돌리기 위해 토르 브라우저로 기재된 사이트에 연결하라'는 내용을 포함하고 있습니다. 


또한 다른 소프트웨어를 통해 복원할 경우 치명적일 수 있다는 일종의 경고도 내세우고 있으며 이를 통해 다른 생각을 할 수 없도록 유도합니다.


[그림 3] MyRansom 랜섬노트 


한편 공격자는 윈도우 작업스케줄러에 랜섬노트 파일과 파일을 암호화하는 랜섬웨어 실행 파일을 등록하여 15분마다 실행하도록 설정하였습니다.


[그림 4] 작업 스케줄러에 등록된 랜섬노트 및 랜섬웨어 실행 파일


이용자가 암호화된 파일을 복원하기 위해 랜섬노트에 있는 다크넷 주소로 접속할 경우 다음과 같이 비트코인 결제를 유도하는 화면을 확인할 수 있습니다.


[그림 5] MyRansom 다크넷 사이트

 

특히나 2048KB(2MB) 미만의 1개 파일을 복원해주는 기능을 제공해주고 있습니다. 이는 파일 복호화에 대한 가능성을 높여 비트코인 결제율을 올리기 위한 일종의 전략으로 보여집니다.


[그림 6] 1개 파일을 복원해주는 기능


최근 Locky 변종이 악성 메일 등을 통해 유포되는 등 랜섬웨어에 대한 위협이 지속적으로 부각되고 있습니다. 또한 이번 MyRansom이 익스플로잇 킷으로 대량 유포된다고 알려진 만큼 평소 업데이트를 하지 않은 기기인 경우 감염 확률이 높습니다.


※ 관련 글

확장자를 asasin으로 변경하는 Locky 랜섬웨어 변종 주의 ▶ 자세히 보기


따라서 랜섬웨어로부터 기기를 보호하기 위해 출처가 불분명한 메일에 첨부된 링크 혹은 첨부파일을 주의해주시고, 평상시 사용하는 애플리케이션뿐만 아니라 윈도우 업데이트와 같은 보안 업데이트를 항상 최신으로 유지하여 감염을 예방해주시기 바랍니다. 또한 중요한 파일들은 USB, 외장하드 등의 외장매체에 주기적으로 보관해주시기 바랍니다.


현재 알약 제품에서는 MyRansom 랜섬웨어를 'Trojan.Ransom.MyRansom'으로 진단하고 있습니다.




  1. add info 2017.10.20 10:47  수정/삭제  댓글쓰기

    그림 5 에서 주소창의 Subdomain 이 감염자들의 ID라는점 알려드립니다.

    • 알약(Alyac) 2017.10.20 16:57 신고  수정/삭제

      안녕하세요 알약입니다.

      올려주신 정보 감사합니다.

  2. kst 2017.10.24 10:31  수정/삭제  댓글쓰기

    A 컨테이너 규격표.hwp.vbdrj 한글 파일의 암호화된 확장자 이름 입니다.
    감염 날자는 2017년 10월 19일 감염 되었습니다.
    늘 대한민국 컴퓨터 보안에 선두를 하시는 알약에 감사드립니다.
    위 파일를 참고 하여 불법적인 문제를 일으키는 일부의 사행위 보다.
    정도와 정이 바른 보편적인 사회가 인류의 기본이 되는 척도 임을
    유포자들에게 일깨우는 기회 부여가 되었으면 합니다.
    다시한번 EST securyti 경영 및 관리자님께 감사드립니다.

    • 알약(Alyac) 2017.10.24 13:38 신고  수정/삭제

      안녕하세요. 이스트시큐리티입니다. 댓글 남겨주셔서 감사합니다^^ 앞으로도 전국민 보안을 위해 노력하는 이스트시큐리티가 되겠습니다. 감사합니다.

  3. 생각해보니 2017.11.15 21:55  수정/삭제  댓글쓰기

    Windows.old 파일은 암호화 안한다고 하니까 중요 파일을 저기에 넣어 보관하면 될려나요?

    • 알약(Alyac) 2017.11.16 13:24 신고  수정/삭제

      안녕하세요. 알약입니다.

      중요 자료를 보다 더 안전하게 보관하기 위해서는 'Windows.old' 경로와 같은 특정 랜섬웨어의 조건에 해당되는 경로가 아닌 PC와 분리된 외장 매체에 정기적으로 백업해주시기 바랍니다.

      감사합니다.

티스토리 방명록 작성
name password homepage