보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

빠르게 진화하는 랜섬웨어, 변종 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-11-18

국내 랜섬웨어 감염 사례 중 크립토월(CryptoWall)과 테슬라 크립트(TeslaCrypt) 감염이 높은 비율을 차지하고 있는 가운데, 이들 랜섬웨어의 최신 변종이 발견돼 사용자들의 더욱 각별한 주의가 필요하다. 

 

크립토월은 [그림 1]과 같이 사용자 PC의 파일을 RSA Key로 암호화하고 파일 복구 비용을 요구하는 랜섬웨어로, 지난 2013년 처음 발견된 이후 지난 1월에 나타난 ‘크립토월 3.0’ 등 지속적으로 업그레이드(?) 되고 있다. 

 

  

[그림 1] 지속적으로 나타나는 크립토월 랜섬웨어

(위에서부터 2014년 11월, 2015년 1월, 2015년 11월 발견)

 

지난 10월 말 사이버 위협 연합(Cyber Threat Alliance, 이하 CTA)이 발표한 보고서에 따르면, 크립토월 3.0 의 제작자는 전 세계적으로 325억 달러를 탈취한 것으로 추정된다. 2015년 1월 크립토월 3.0이 나타난 지 10개월만에 새로운 크립토월 변종, 이른바 크립토월 4.0이 나타났다. 

 

기존과 같은 듯 다른 크립토월 4.0

크립토월 4.0의 특징적인 동작 방식은 다음과 같다. 

1. 복제 파일을 생성한 후 원본 악성 파일을 삭제

크립토월 4.0이 실행되면 즉시 “C:\Documents and Settings\_사용자명_\Application Data” 경로에 폴더를 생성하고 불특정한 형식의 이름으로 자가 복제한 파일을 생성한다. 이후 [그림 2]와 같이 원본 악성 파일을 삭제한다. 

 

  

[그림 2] 자가 복제 및 원본 삭제


2. 시스템 복원 파일 삭제

자가 복제 및 원본 파일을 삭제한 크립토월 4.0은 이어 Windows의 ‘시스템 복원 파일’을 삭제한다. 사용자가 이 기능을 이용해 감염 상태 이전으로 시스템을 복원하여 암호화되기 전의 파일을 확보하는 것을 방지하기 위함으로 보인다. 

크립토월 4.0은 vssadmin.exe 파일을 통해 시스템 복원 파일을 삭제한다. vssadmin.exe는 Windows OS의 시스템 유틸리티로, 시스템 볼륨 쉐도우 카피(System Volume Shadow Copy) 또는 시스템 복원에 필요한 백업 파일을 생성하고 삭제하는 역할을 한다. 크립토월 4.0은 [그림 3]과 같이 시스템 복원에 필요한 파일이 저장된 “C:\System Volume Information\_Restore~” 경로의 파일을 삭제한다. 

 


[그림 3] 시스템 복원 파일 삭제

 

3. 파일 암호화 

시스템 복원 파일을 삭제한 다음 PC내 파일을 암호화하는 단계로 이어진다. 크립토월 4.0이 파일을 암호화하면 [그림 4]와 같이 이상한 이름을 가진 파일들이 생성된다.  

  

[그림 4] 파일 암호화

 

[그림 4]와 같이 크립토월 4.0에 의해 암호화된 파일에서 이전 버전의 크립토월과의 다른 점을 확인할 수 있다. 첫째, 이상한 이름의 파일이 생성된다는 것. 좀 더 구체적으로, 크립토월 4.0에 의해 암호화된 파일은 파일명도 암호화된 형태라는 점이다. 

지금까지의 크립토월에 의해 암호화된 파일은 기존 파일 이름에 특정한 구분자가 추가되는 형태였다. 

  

 

크립토월 3.0

크립토월 4.0

감염 전 파일명

file.exe

file.exe

감염 후 암호화된 파일명

file.exe.iahhb

98s3kj10.rd

 [표 1] 크립토월 4.0과 이전 버전의 암호화된 파일명 차이

 

기존 크립토월과 크립토월 4.0의 또 다른 차이점은 파일 복구를 위해 비용을 요구하는 메시지의 파일명이다. 기존 크립토월의 비용 요구 메시지, 이른바 ‘랜섬 메시지’를 담은 파일은 HELP_DECRYPT 였으나, 크립토월 4.0의 랜섬 메시지 파일의 이름은 [그림 5]와 같이 HELP_YOUR_FILES이다. 

 

  

[그림 5] 크립토월 4.0 랜섬 메시지

 

4. 크립토월 감염 후 C&C (Command & Control) 서버 연결 

크립토월 4.0은 감염 후 사용자 PC의 파일을 암호화하는 것뿐만 아니라 C&C 서버와의 연결을 시도한다. 

 


[그림 6] 크립토월 4.0의 C&C 연결 

 

테슬라크립트 2.0도 유포 중 

최근 크립토월과 함께 국내에서 주로 유포되는 랜섬웨어 중에는 테슬라크립트(TeslaCrypt)가 있다. 국내에서테슬라크립트가 처음 포착된 것은 지난 2월~3월 사이이다. 테슬라크립트는 감염 후 사용자에게 보여주는 화면상에는 ‘RSA로 암호화한다’고 설명하고 있지만 실제로는 AES Key를 사용하여 사용자 PC의 파일을 암호화한다. 최근 발견된 테슬라크립트는 파일을 암호화한 후 확장자를 ‘*.ccc’로 설정하고 있어, 국내에서는 CCC 랜섬웨어로도 악명을 떨치고 있다.

 


 
[그림 7] 테슬라크립트 복호화 및 결제 유도 html 파일 

 

초창기부터 테슬라크립트는 크립토락커(CryptoLocker)의 감염 메시지를 차용하기도 했다. 테슬라크립트 2.0 또한 크립토월의 감염 메시지를 담은 html 파일을 그대로 사용하고 있는 것으로 확인되었다. 이에 해외에서는 테슬라크립트가 크립토월로 ‘위장(disguise)’하고 있다고 표현되기도 한다. 

 


[그림8] 감염 메시지가 유사한 테슬라크립트, 크립토월 3.0, 크립토월 4.0(왼쪽부터)

 

 

랜섬웨어, 삭제해도 파일 복구는 어려워 

크립토월이나 테슬라크립트 외에도 매우 다양한 랜섬웨어의 신•변종이 유포되고 있다. 다소의 차이는 있지만 사용자 PC의 파일을 암호화하여 이를 인질로 삼아 금전적 요구를 한다는 점은 동일하다. 

랜섬웨어에 감염되면 백신 등을 통해 제거할 수는 있지만, 복호화 키값이 공격자의 서버에 별도로 저장되어 있는 경우가 대부분이기 때문에 랜섬웨어에 의해 암호화된 파일은 거의 복구하기 어렵다. 초기의 랜섬웨어는 Windows의 VSC(Volume Shadow Copy) 기능을 통해 암호화된 파일 중 일부 파일을 복구할 수 있었지만, 앞서 살펴본 바와 같이 최신 랜섬웨어는 이 기능을 이용한 백업 파일도 삭제하기 때문에 파일 복구가 어렵다. 이 때문에 최근 파일 백업의 중요성이 그 어느 때 보다 강조되고 있다. 

 

또한 최근에는 랜섬웨어들은 감염 흔적을 지우기 위해 파일 암호화가 완료되면 자기 스스로를 삭제하는 경우가 많다. 이에 랜섬웨어에 감염된 PC에서 랜섬웨어의 감염 여부가 확인되지 않는 경우도 늘고 있다. 

 

랜섬웨어, 이메일 첨부 파일과 소프트웨어 취약점 통해 유포돼

CTA의 보고서에 따르면 크립토월 3.0은 이메일을 통한 피싱 공격(67.3%)과 익스플로잇 킷(30.7%)을 통해 유포 및 감염되었다. 이메일을 통한 피싱 공격의 경우, 주로 ZIP 등 압축 파일에 랜섬웨어를 첨부하는 형태다. 익스플로잇 킷이란 소프트웨어의 취약점을 이용해 악성코드를 삽입하는 방식이다. 따라서 랜섬웨어를 예방하기 위해서는 ▲알 수 없는 발송자의 이메일이나 의심스러운 첨부 파일에 대해 주의하고 ▲주로 이용하고 있는 소프트웨어의 최신 및 누적 보안 업데이트를 적용해 취약점을 이용한 익스플로잇을 방지하는 것이 중요하다. 

이 밖에도 사용중인 백신 프로그램을 최신 엔진 버전으로 유지해야 하며 국내에서 랜섬웨어 유포에 주로 이용되는 파일공유 사이트 혹은 P2P이용을 자제해야 한다. 

 

한편 V3 제품군은 최근 나타난 랜섬웨어 변종에 대해 아래와 같은 진단명으로 탐지하고 있다. 

 

<V3 제품군의 진단명>

Trojan/Win32.CryptoWall (2015.11.06.01)

Trojan/Win32.Teslacrypt (2015.11.07.02)

Trojan/Win32.CryptoWall (2015.11.11.00)

 


 

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.