[악성코드 분석리포트] "히틀러" 랜섬웨어

Trojan.Ransom.Hitler

최근 히틀러의 사진을 이용하여 캐시 코드를 요구하는 랜섬웨어가 발견되었습니다. 히틀러라는 악명 높은 인물을 이용하여 감염된 사용자의 심리를 자극하기 위한 것으로 보이지만, 실제 분석결과 엉성한 구성으로 아직 초기 개발단계의 악성코드임을 확인 할 수 있었습니다.

[그림 1] 히틀러 랜섬웨어 설치 시 화면

아직까지 국내에는 확산이 이루어지지 않았고 캐시 코드를 지불할 수 있는 방법도 쉽지 않아 큰 이슈가 되고 있지 않지만, 다른 랜섬웨어와 같이 고도화 및 감염 루트의 다양화를 통해 파급력을 키울 가능성도 분명 존재합니다.

이번 분석보고서에서는 스스로를 히틀러 랜섬웨어라고 명명한 악성코드의 특징과 예방 방법에 대해 알아보도록 하겠습니다.

악성파일 분석

흐름도

히틀러 랜섬웨어는 최초 ExtraTools.exe 파일을 유포하며, 실행 시 다른 악성 파일들을 생성하는 방식으로 동작합니다.

[그림 2] 히틀러 악성코드의 설치 흐름도

상세분석

- ExtraTools.exe 파일 분석

ExtraTools.exe은 4개의 파일을 포함하고 있으며 실행 시 temp 폴더에 이를 드랍합니다. 이후 bat을 실행하여 다른 드랍한 파일들을 순차적으로 실행하도록 되어있습니다.

[그림 3] temp폴더에 파일 드랍

- ExtraTools.bat 파일 분석

내부 스크립트를 살펴보면 다음과 같은 다양한 행위들을 확인할 수 있습니다.

[그림 4] bat 파일의 내부 스크립트

간단히 정리하면 다음과 같이 4가지의 행위를 합니다.

① ErOne.vbs를 실행합니다. 에러 메시지를 띄우지만 특별한 행위는 하지 않습니다.

② firefox32.exe 파일을 Startup폴더에 복사하여 윈도우 시작 시 실행되도록 합니다.

③ chrst.exe를 실행시켜 히틀러 경고창을 띄웁니다.

④ 특정 폴더의 모든 파일 확장자를 지웁니다.

- chrst.exe 파일 분석

이 파일은 UI를 담당하고 있으며, 모든 파일을 암호화했으니 복구하고 싶다면 1시간내 Vodafone 카드(25유로)를 구매하여 캐시 코드를 내놓으라는 협박 경고창을 보여줍니다.  또 동시에 다른 프로그램을 모니터링하여 아래와 같은 프로그램이 실행 중이면 즉시 종료시킵니다.

cmd, sethc, utilman, taskmqr

제한 시간이 모두 지나면 다음과 같이 csrss 프로세스를 찾아서 강제 종료합니다. csrss는 대부분의 Win32 콘솔 조작과 GUI를 담당하고 있기 때문에, 이 프로세스가 강제로 종료된다는 것은 PC의 비정상적인 강제 종료를 의미한다고 볼 수 있습니다.

[그림 5] csrss 프로세스를 이용한 PC의 비정상 종료

- firefox32.exe 파일 분석

이 파일은 자신의 흔적을 지우기 위해 제작된 것으로 추측할 수 있습니다. 동작 시 temp 폴더에 bat파일을 드랍하고 실행합니다.

[그림 6] temp 폴더내 bat 파일 드랍

bat 파일을 살펴보면 다음과 같이 %userprofile%(사용자 폴더) 하위의 모든 파일을 삭제하도록 되어있습니다.

[그림 7] bat 파일의 내부 스크립트

1시간내 캐시 코드를 보내지 않으면 %userprofile%내 파일들이 강제 재부팅 과정에서 삭제되는 것입니다.

만약 감염되어 히틀러 경고창이 사용자 PC 화면에 나타났다면, PC를 강제 종료한 후 안전모드 부팅을 해야 합니다. 이후 firefox32.exe가 시작되지 않도록 자동 시작 레지스트리 항목과 해당 파일을 삭제 조치해야 %userprofile% 내 사용자 파일의 손실을 막을 수 있습니다.

결론

히틀러 랜섬웨어는 몇 가지 허술한 부분을 발견할 수 있었습니다. 우선 파일을 암호화했다고 메시지를 띄우지만, 실제로는 확장자만 지우고 암호화는 되어있지 않았습니다. 환경에 따라서 경고창 폭이 잘못 적용되어 잘 보이지도 않는 경우도 있으며,  Vodafone의 캐시 코드는 특정 나라에서만 가능한 지불 수단이기도 합니다. 또 ‘This is Hitler-Ransonware’로 오기(Ransomware)되어 있습니다.

하지만 bat 파일내 스크립트를 확인하면 ‘Das ist ein Test …..’(This is a Test)로 테스트 버전임을 스스로 설명하고 있기 때문에, 앞으로 고도화된 랜섬웨어로 다시 등장할 가능성도 있을 것입니다. 고도화를 통해 강력해진 기능을 보여준 랜섬웨어 사례는 Cerber, Locky등 쉽게 찾아볼 수 있기 때문에, 히틀러 랜섬웨어도 차후 동향을 관심 있게 봐야 할 것입니다.

현재 알약에서는 ‘Trojan.Ransom.Hitler’로 관련 파일을 탐지하고 있습니다.

※ 관련 내용은 알약 보안동향보고서 9월호에서도 확인하실 수 있습니다.