상세 컨텐츠

본문 제목

한국을 겨냥한 MyRansom 랜섬웨어 유포 주의

악성코드 분석 리포트

by 알약(Alyac) 2017. 10. 19. 15:29

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 


해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다.


[그림 1] 한국 언어 환경을 확인하는 코드


MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다.


"doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx", "csv", "rtf", "123", "wks", "wk1", "pdf", "dwg", "onetoc2", "snt", "docb", "docm", "dot", "dotm", "dotx", "xlsm", "xlsb", "xlw", "xlt", "xlm", "xlc", "xltx", "xltm", "pptm", "pot", "pps", "ppsm", "ppsx", "ppam", "potx", "potm", "edb", "hwp", "602", "sxi", "sti", "sldx", "sldm", "vdi", "vmx", "gpg", "aes", "raw", "cgm", "nef", "psd", "ai", "svg", "djvu", "sh", "class", "jar", "java", "rb", "asp", "php", "jsp", "brd", "sch", "dch", "dip", "p", "vb", "vbs", "ps1", "js", "asm", "h", "pas", "cpp", "c", "cs", "suo", "sln", "ldf", "mdf", "ibd", "myi", "myd", "frm", "odb", "dbf", "db", "mdb", "accdb", "sq", "sqlitedb", "sqlite3", "asc", "lay6", "lay", "mm", "sxm", "otg", "odg", "uop", "std", "sxd", "otp", "odp", "wb2", "slk", "dif", "stc", "sxc", "ots", "ods", "3dm", "max", "3ds", "uot", "stw", "sxw", "ott", "odt", "pem", "p12", "csr", "crt", "key", "pfx", "der", "1cd", "cd", "arw", "jpe", "eq", "adp", "odm", "dbc", "frx", "db2", "dbs", "pds", "pdt", "dt", "cf", "cfu", "mx", "epf", "kdbx", "erf", "vrp", "grs", "geo", "st", "pff", "mft", "efd", "rib", "ma", "lwo", "lws", "m3d", "mb", "obj", "x", "x3d", "c4d", "fbx", "dgn", "4db", "4d", "4mp", "abs", "adn", "a3d", "aft", "ahd", "alf", "ask", "awdb", "azz", "bdb", "bib", "bnd", "bok", "btr", "cdb", "ckp", "clkw", "cma", "crd", "dad", "daf", "db3", "dbk", "dbt", "dbv", "dbx", "dcb", "dct", "dcx", "dd", "df1", "dmo", "dnc", "dp1", "dqy", "dsk", "dsn", "dta", "dtsx", "dx", "eco", "ecx", "emd", "fcd", "fic", "fid", "fi", "fm5", "fo", "fp3", "fp4", "fp5", "fp7", "fpt", "fzb", "fzv", "gdb", "gwi", "hdb", "his", "ib", "idc", "ihx", "itdb", "itw", "jtx", "kdb", "lgc", "maq", "mdn", "mdt", "mrg", "mud", "mwb", "s3m", "ndf", "ns2", "ns3", "ns4", "nsf", "nv2", "nyf", "oce", "oqy", "ora", "orx", "owc", "owg", "oyx", "p96", "p97", "pan", "pdb", "pdm", "phm", "pnz", "pth", "pwa", "qpx", "qry", "qvd", "rctd", "rdb", "rpd", "rsd", "sbf", "sdb", "sdf", "spq", "sqb", "stp", "str", "tcx", "tdt", "te", "tmd", "trm", "udb", "usr", "v12", "vdb", "vpd", "wdb", "wmdb", "xdb", "xld", "xlgc", "zdb", "zdc", "cdr", "cdr3", "abw", "act", "aim", "ans", "apt", "ase", "aty", "awp", "awt", "aww", "bad", "bbs", "bdp", "bdr", "bean", "bna", "boc", "btd", "cnm", "crw", "cyi", "dca", "dgs", "diz", "dne", "docz", "dsv", "dvi", "dx", "eio", "eit", "emlx", "epp", "err", "etf", "etx", "euc", "faq", "fb2", "fb", "fcf", "fdf", "fdr", "fds", "fdt", "fdx", "fdxt", "fes", "fft", "flr", "fodt", "gtp", "frt", "fwdn", "fxc", "gdoc", "gio", "gpn", "gsd", "gthr", "gv", "hbk", "hht", "hs", "htc", "hz", "idx", "ii", "ipf", "jis", "joe", "jp1", "jrtf", "kes", "klg", "knt", "kon", "kwd", "lbt", "lis", "lit", "lnt", "lp2", "lrc", "lst", "ltr", "ltx", "lue", "luf", "lwp", "lyt", "lyx", "man", "map", "mbox", "me", "mel", "min", "mnt", "mwp", "nfo", "njx", "now", "nzb", "ocr", "odo", "of", "oft", "ort", "p7s", "pfs", "pjt", "prt", "psw", "pu", "pvj", "pvm", "pwi", "pwr", "qd", "rad", "rft", "ris", "rng", "rpt", "rst", "rt", "rtd", "rtx", "run", "rzk", "rzn", "saf", "sam", "scc", "scm", "sct", "scw", "sdm", "sdoc", "sdw", "sgm", "sig", "sla", "sls", "smf", "sms", "ssa", "sty", "sub", "sxg", "tab", "tdf", "tex", "text", "thp", "tlb", "tm", "tmv", "tmx", "tpc", "tvj", "u3d", "u3i", "unx", "uof", "upd", "utf8", "utxt", "vct", "vnt", "vw", "wbk", "wcf", "wgz", "wn", "wp", "wp4", "wp5", "wp6", "wp7", "wpa", "wpd", "wp", "wps", "wpt", "wpw", "wri", "wsc", "wsd", "wsh", "wtx", "xd", "xlf", "xps", "xwp", "xy3", "xyp", "xyw", "ybk", "ym", "zabw", "zw", "abm", "afx", "agif", "agp", "aic", "albm", "apd", "apm", "apng", "aps", "apx", "art", "asw", "bay", "bm2", "bmx", "brk", "brn", "brt", "bss", "bti", "c4", "ca", "cals", "can", "cd5", "cdc", "cdg", "cimg", "cin", "cit", "colz", "cpc", "cpd", "cpg", "cps", "cpx", "cr2", "ct", "dc2", "dcr", "dds", "dgt", "dib", "djv", "dm3", "dmi", "vue", "dpx", "wire", "drz", "dt2", "dtw", "dv", "ecw", "eip", "exr", "fa", "fax", "fpos", "fpx", "g3", "gcdp", "gfb", "gfie", "ggr", "gih", "gim", "spr", "scad", "gpd", "gro", "grob", "hdp", "hdr", "hpi", "i3d", "icn", "icon", "icpr", "iiq", "info", "ipx", "itc2", "iwi", "j", "j2c", "j2k", "jas", "jb2", "jbig", "jbmp", "jbr", "jfif", "jia", "jng", "jp2", "jpg2", "jps", "jpx", "jtf", "jw", "jxr", "kdc", "kdi", "kdk", "kic", "kpg", "lbm", "ljp", "mac", "mbm", "mef", "mnr", "mos", "mpf", "mpo", "mrxs", "my", "ncr", "nct", "nlm", "nrw", "oc3", "oc4", "oc5", "oci", "omf", "oplc", "af2", "af3", "asy", "cdmm", "cdmt", "cdmz", "cdt", "cmx", "cnv", "csy", "cv5", "cvg", "cvi", "cvs", "cvx", "cwt", "cxf", "dcs", "ded", "dhs", "dpp", "drw", "dxb", "dxf", "egc", "emf", "ep", "eps", "epsf", "fh10", "fh11", "fh3", "fh4", "fh5", "fh6", "fh7", "fh8", "fif", "fig", "fmv", "ft10", "ft11", "ft7", "ft8", "ft9", "ftn", "fxg", "gem", "glox", "hpg", "hpg", "hp", "idea", "igt", "igx", "imd", "ink", "lmk", "mgcb", "mgmf", "mgmt", "mt9", "mgmx", "mgtx", "mmat", "mat", "ovp", "ovr", "pcs", "pfv", "plt", "vrm", "pobj", "psid", "rd", "scv", "sk1", "sk2", "ssk", "stn", "svf", "svgz", "tlc", "tne", "ufr", "vbr", "vec", "vm", "vsdm", "vstm", "stm", "vstx", "wpg", "vsm", "xar", "ya", "orf", "ota", "oti", "ozb", "ozj", "ozt", "pa", "pano", "pap", "pbm", "pc1", "pc2", "pc3", "pcd", "pdd", "pe4", "pef", "pfi", "pgf", "pgm", "pi1", "pi2", "pi3", "pic", "pict", "pix", "pjpg", "pm", "pmg", "pni", "pnm", "pntg", "pop", "pp4", "pp5", "ppm", "prw", "psdx", "pse", "psp", "ptg", "ptx", "pvr", "px", "pxr", "pz3", "pza", "pzp", "pzs", "z3d", "qmg", "ras", "rcu", "rgb", "rgf", "ric", "riff", "rix", "rle", "rli", "rpf", "rri", "rs", "rsb", "rsr", "rw2", "rw", "s2mv", "sci", "sep", "sfc", "sfw", "skm", "sld", "sob", "spa", "spe", "sph", "spj", "spp", "sr2", "srw", "wallet", "jpeg", "jpg", "vmdk", "arc", "paq", "bz2", "tbk", "bak", "tar", "tgz", "gz", "7z", "rar", "zip", "backup", "iso", "vcd", "bmp", "png", "gif", "tif", "tiff", "m4u", "m3u", "mid", "wma", "flv", "3g2", "mkv", "3gp", "mp4", "mov", "avi", "asf", "mpeg", "vob", "mpg", "wmv", "fla", "swf", "wav", "mp3"

[표 1] 암호화 대상 확장자 문자열


다음은 암호화 제외 경로 문자열입니다. 이를 통해 불필요한 암호화를 하지 않으려는 것으로 보여집니다.


"\documents and settings\all users\"

"\documents and settings\default user\"

"\documents and settings\localservice\"

"\documents and settings\networkservice\"

"\appdata\local\"

"\appdata\locallow\"

"\appdata\roaming\"

"\local settings\"

"\public\music\sample music\"

"\public\pictures\sample pictures\"

"\public\videos\sample videos\"

"\tor browser\"

"\$recycle.bin"

"\$windows.~bt"

"\$windows.~ws"

"\boot"

"\intel"

"\msocache"

"\perflogs"

"\program files (x86)"

"\program files"

"\programdata"

"\recovery"

"\recycled"

"\recycler"

"\system volume information"

"\windows.old"

"\windows10upgrade"

"\windows"

"\winnt"

[표 2] 암호화 대상 제외 경로 문자열


파일 암호화 진행 간 대상 파일을 'ihsdj'로 확장자를 변경합니다. MyRansom 랜섬웨어 변종에 따라 확장자를 'kgpvwnr'로 변경하는 경우가 있으니 참고 바랍니다.


[그림 2] 암호화 대상 파일의 확장자를 변경하는 화면


암호화가 완료된 경우 이용자에게 암호화된 사실을 알리기 위해 랜섬노트 텍스트 파일을 실행하여 보여줍니다. 랜섬노트는 '당신의 파일은 손상된 것이 아니라 수정이 되었을 뿐이며, 수정된 파일을 원래대로 돌리기 위해 토르 브라우저로 기재된 사이트에 연결하라'는 내용을 포함하고 있습니다. 


또한 다른 소프트웨어를 통해 복원할 경우 치명적일 수 있다는 일종의 경고도 내세우고 있으며 이를 통해 다른 생각을 할 수 없도록 유도합니다.


[그림 3] MyRansom 랜섬노트 


한편 공격자는 윈도우 작업스케줄러에 랜섬노트 파일과 파일을 암호화하는 랜섬웨어 실행 파일을 등록하여 15분마다 실행하도록 설정하였습니다.


[그림 4] 작업 스케줄러에 등록된 랜섬노트 및 랜섬웨어 실행 파일


이용자가 암호화된 파일을 복원하기 위해 랜섬노트에 있는 다크넷 주소로 접속할 경우 다음과 같이 비트코인 결제를 유도하는 화면을 확인할 수 있습니다.


[그림 5] MyRansom 다크넷 사이트

 

특히나 2048KB(2MB) 미만의 1개 파일을 복원해주는 기능을 제공해주고 있습니다. 이는 파일 복호화에 대한 가능성을 높여 비트코인 결제율을 올리기 위한 일종의 전략으로 보여집니다.


[그림 6] 1개 파일을 복원해주는 기능


최근 Locky 변종이 악성 메일 등을 통해 유포되는 등 랜섬웨어에 대한 위협이 지속적으로 부각되고 있습니다. 또한 이번 MyRansom이 익스플로잇 킷으로 대량 유포된다고 알려진 만큼 평소 업데이트를 하지 않은 기기인 경우 감염 확률이 높습니다.


※ 관련 글

확장자를 asasin으로 변경하는 Locky 랜섬웨어 변종 주의 ▶ 자세히 보기


따라서 랜섬웨어로부터 기기를 보호하기 위해 출처가 불분명한 메일에 첨부된 링크 혹은 첨부파일을 주의해주시고, 평상시 사용하는 애플리케이션뿐만 아니라 윈도우 업데이트와 같은 보안 업데이트를 항상 최신으로 유지하여 감염을 예방해주시기 바랍니다. 또한 중요한 파일들은 USB, 외장하드 등의 외장매체에 주기적으로 보관해주시기 바랍니다.


현재 알약 제품에서는 MyRansom 랜섬웨어를 'Trojan.Ransom.MyRansom'으로 진단하고 있습니다.




관련글 더보기

댓글 영역