국내 사용자를 대상으로 Paymen45 랜섬웨어가 대량으로 유포 중!

안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

2020년 5월 10일부터 국내 사용자를 대상으로 Paymen45 랜섬웨어가 대량으로 유포 중이어서 주의가 필요합니다. 

해당 랜섬웨어는 정확한 감염경로가 아직 확인되진 않았으나 악성 이메일 첨부파일 또는, 불법SW 크랙버전을 위장하여 유포가 되고 있는 것으로 추정됩니다.

이번에 확인된 Paymen45 랜섬웨어는 현재까지 ESRC에서 발견된 변종을 포함하여 크게 2종류로 확인됩니다.

랜섬웨어 기능 자체는 유사하지만, 독특한 점도 몇가지 발견할 수 있었습니다.

일단 초기에 발견된 Paymen45 랜섬웨어의 경우, 크롬 아이콘으로 자신을 위장하고 있습니다. (추가로 발견된 변종의 경우 크롬 아이콘으로 위장하지 않고 있습니다.)

[그림 1] 크롬icon으로 위장한 Paymen45 랜섬웨어

일단 사용자가 Paymen45 랜섬웨어에 감염될 경우, 감염대상 파일 확장자 뒤에 .KJHslgjkjdfg라는 문자열을 추가하게 됩니다. 

확장자 뒤에 붙는 문자열이 마치 랜덤문자열처럼 보이지만 실제로는 이 랜섬웨어는 감염된 모든 PC에 동일한 고정 문자열을 추가하는 것으로 확인했습니다. (추가발견된 변종의 경우 확장자 뒤에 .g8R4rqWIp9를 추가하고 있습니다.)

[그림 2] Paymen45 랜섬웨어에 감염될 경우 변경되는 확장자 내용 및 랜섬노트 화면

[그림 3] Paymen45 랜섬웨어의 또다른 버전에 감염될 경우 변경되는 확장자 내용 및 랜섬노트 화면

일단 감염된 후 사용자가 복호화를 하기 위해 토르 주소에 접속할 경우 아래와 같은 복호화 안내 페이지를 확인할 수 있습니다.

[그림 4] Paymen45 랜섬웨어가 안내하는 토르 주소를 통해 확인할 수 있는 복호화 안내 페이지

그림 2와 그림 3을 비교해 보면 파일을 암호화한 이후 변경하는 확장자 문자열 내용, 랜섬노트 파일명, 그리고 랜섬노트 내용 일부가 다른 것을 확인할 수 있습니다.

앞에서 잠깐 언급했듯이 시작프로그램 등록 여부, 크롬 icon 위조 부분에서도 ESRC에서 확인한 Paymen45 랜섬웨어 2가지 버전(KJHslgjkjdfg/g8R4rqWIp9)은 같은 이름을 사용하는 랜섬웨어 치고는 많이 다릅니다.

물론 코드 구조도 서로 다릅니다. 그림 2에서 확인한 랜섬웨어(KJHslgjkjdfg)는 makop 랜섬웨어 변종과 코드가 거의 동일하기 때문에 makop 랜섬웨어(=Carlos 랜섬웨어의 변종)의 변종이라고 봐도 무방할 정도이지만, 그림 3에서 언급된 랜섬웨어(g8R4rqWIp9)는 makop 랜섬웨어와도 다르고 그림 2에서 확인된 Paymen45 (KJHslgjkjdfg)와도 많이 다릅니다.

서로 암호화를 제외하는 파일명과 암호화 대상에서 제외되는 확장자 정보, 제외 경로 문자열까지 거의 유사성을 찾기 어렵습니다.

* Paymen45(KJHslgjkjdfg) 관련 암호화 작업 제외 대상

- 제외 확장자 : makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, exe, dll

- 제외 파일 문자열 : boot.ini;bootfont.bin;ntldr;ntdetect.com;io.sys;readme-warning.txt, desktop.in

* Paymen45(g8R4rqWIp9) 관련 암호화 작업 제외 대상

- 제외 확장자 : scr, cmd, dll, bat, cpl, sys, msc, com, lnk, msp, pif, .g8R4rqWIp9

- 제외 경로 문자열 : Appdata, Windows, C:\Windows, C:\System Volume Information

Paymen45라는 토르 onion주소 일부 문자열 때문에 해외에서는 이 랜섬웨어를 Paymen45 랜섬웨어로 명명하고 있는 것으로 보이는데 현재까지 확인된 내용으로 봤을 때, 같은 랜섬웨어 패밀리라고 보기엔 토르 주소를 제외하고는 아예 다른 랜섬웨어라고 보여집니다. 일단 향후 변종이 발생시 Paymen45라는 패밀리그룹으로 묶는 부분에 대해서는 고민이 필요해 보입니다. 

Paymen45 이슈는 동일한 공격조직이 서로 다른 형태의 랜섬웨어를 동시다발적으로 유포할 가능성도 있으며 단순히 여러가지 버전으로 사전 테스트를 진행하고 있을 가능성도 높습니다.

실제로 Paymen45(KJHslgjkjdfg)는 기존 makop 랜섬웨어의 변종으로 별도의 감염PC정보를 전송하는 기능이 존재하지 않습니다. 그러나 Paymen45(g8R4rqWIp9)의 경우, 랜섬웨어에 감염된 PC에서 파일 암호화 이후 C&C에 감염PC 정보를 전송하는 기능이 코드상으로 존재합니다. 기능이 업데이트되고 있음을 짐작할 수 있습니다.

물론 Paymen45(g8R4rqWIp9)의 경우도 실제 C&C관련 IP정보나 도메인 정보가 악성코드 내부에 존재하고 있지 않아 분석 과정에서 C&C에 실제 정보가 전달이 이뤄지고 어떤 내용을 통신하는 지는 확인이 이뤄지지 않았습니다. 이 부분은 추후 변종 샘플 확보시 추가 확인할 예정입니다.

알약에서는 해당 Paymen45 랜섬웨어를 Trojan.Ransom.Paymen45로 탐지/대응하고 있습니다.

또한, ESRC에서는 해당 Paymen45 토르 주소와 관련된 랜섬웨어 변종 출현에 대비하여 집중 모니터링을 진행하고 있습니다.