HydraCrypt 변형으로 알려진 CryptoMix 랜섬웨어가 국내 발견 되었다. 해외에서는 작년 말 관공서 및 학교에 사회공학적 기법을 이용해 유포되어 유명해 졌으며 2017년 초 국내에 상륙한 것을 확인하였다. 한편 CryptoMix 와 유사한 CryptoShield 랜섬웨어도 국내 발견 되었다. 해당 랜섬웨어 대한 정보는 조만간 본 블로그를 통하여 게시할 예정이다.
CryptoMix는 2016년 말 미국 내에서 스팸 메일을 이용해 유포가 활발하였고 타겟은 관공서 직원 및 학교 선생님 대상으로 발송된 것으로 보도되었다.
최근 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서는 취약점에 의해 CryptoMix가 생성된 것으로 로그가 확인 되었다. 현재 유포 방식을 작년 말과는 다르게 변경한 것으로 보인다. 또한 2017년 1월 기준 CryptoMix는 Rig-V EK(Exploit Kit)에 의해 유포된 것으로 해외 블로그(malware-traffic-analysis.net: 주로 악성코드 감염과 관련된 네트워크 트래픽 정보를 포스팅 함)에 언급 되어있다.
[그림-1] RIG-V EK와 CryptoMix 동작도
정상 웹 사이트에 취약점이 있는 웹 페이지로 유도하는 스크립트를 삽입하는 공격으로부터 시작 되는 RIG-V EK 는 주로 SWF (CVE-2015-8651외) 취약점을 사용한다. 취약점이 존재하는 경우 사용자는 정상적인 웹 사이트를 방문 시 접속만으로도 CryptoMix 랜섬웨어가 실행 되어 컴퓨터 내의 파일들이 암호화 된다.
많이 알려진 Locky나 Cerber 랜섬웨어와는 다르게 CrptoMix 감염될 시 바탕화면이 변경되지는 않지만 아래 그림과 같은 텍스트 파일을 실행시켜 사용자에게 감염된 것을 인지 시켜준다.
[그림-2] 랜섬웨어 경고 텍스트
CrptoMix에 암호화된 파일명은 다음과 같이 변경된다.
- 원본파일명.email[****@post.com]_id[pcid].lesli (메일주소 일부 * 처리)
[그림-3] 암호화된 파일의 변경된 파일명
CryptoMix 로 암호화된 파일의 확장자는 변형 별로 다음과 같이 변경되었다.
|
암호화된 파일의 변경된 확장자 |
|
.code |
|
.scl |
|
.lesli |
|
.rmd |
|
.rmdk |
[표-1] 감염된 파일의 변경된 확장자 변경 정보
CryptoMix 암호화 대상 확장자는 약 1200여개 이며 [표-2]에는 일부만 기술하였다
[표-2] 암호화 대상 확장자 일부
CryptoMix는 1200여개의 확장자를 암호화 대상으로 하고 있으며 위 [표-2] 에서 확인할 수 있듯이 아래한글 확장자인 .hwp 도 포함되어 있다.
하기 [표-3]에 있는 문자열이 포함된 경로(ex: c:\windws)는 암호화를 진행하지 않으며 자기자신이 있는 경로의 파일도 암호화 하지 않는다.
|
windows |
packages |
cookies |
programdata |
microsoft |
|
boot |
application data |
winnt |
tmp |
inetcache |
|
nvidia |
system volume information |
$recycle.bin |
temp |
webcache |
|
cache |
program files (x86) |
program files |
temporary internet files |
appdata |
[표-3] 암호화 제외 경로 문자열
파일 암호화 후 CryptoMix 는 아래 [표-4]와 같이PC의 볼륨 쉐도우 삭제 및 부팅 구성 데이터 편집기(bcdedit.exe)를 이용해 복구 무력화를 진행한다.
|
명령어 |
기능 |
|
vssadmin.exe Delete Shadows /All /Quiet |
볼륨 쉐도우 삭제 |
|
wmic shadowcopy delete |
볼륨 쉐도우 삭제 |
|
net stop vss |
볼륨 쉐도우 서비스 중지 |
|
bcdedit /set {default} bootstatuspolicy ignoreallfailures |
Windows 오류 복구 알림창 표시 끔 |
|
bcdedit /set {default} recoveryenabled No |
복구 모드 사용 안함 |
|
wbadmin delete catalog –quiet |
백업 카탈로그 삭제 |
[표-4] 사용자의 복구를 막는 명령어와 기능
일반적인 랜섬웨어는 파일을 암호화하여 목적 달성 후 흔적을 없애기 위해 자가 삭제하지만 CryptoMix의 경우 특정경로에 자기 복제 후 원본파일과 함께 모두 레지스트리 Run키에 등록하여 재부팅 후에도 다시 동작하여 감염을 하게 한다.
[그림-4] 레지스트리에 등록된 랜섬웨어
|
레지스트리 |
DATA |
|
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Spy Security SoftWare |
원본 랜섬웨어 |
|
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Spy Security SoftWare |
복사된 랜섬웨어 |
[표-5] CryptoMix 레지스트리 등록 정보(*변형마다 다름)
CryptoMix는 네트워크 접속하여 사용자의 정보를 전송하고 종료된다.
|
접속 주소(일부 주소 * 처리) |
|
37.59.39.53/os_information/010517/statistic_valid_os.php?info=** |
|
176.123.26.7/offser_valid/pobin_validator/098019_203405/ms_statistic_os_key.php?info=** |
[표-6] CryptoMix 네트워크 접속 정보(*변형마다 다름)
랜섬웨어의 특성상 완벽한 복구 방법이나 예방법은 없지만 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.
또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.
현재 V3 에서는 CryptoMix 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
- Trojan/Win32.CryptoMix (2017.01.26.00)
- Win-Trojan/CryptoMix.Gen (2017.01.26.00)
'악성코드 정보' 카테고리의 다른 글
| 취약점을 통해 유포되는 CryLocker 랜섬웨어 (0) | 2017.02.24 |
|---|---|
| 스팸메일 및 취약점을 통해 유포되는 Spora 랜섬웨어 (0) | 2017.02.15 |
| 랜섬웨어에 이용되는 바로가기(.lnk) 악성코드 (2016년~현재) (0) | 2017.02.14 |
| 스팸메일을 통해 유포되는 VenusLocker 랜섬웨어 (0) | 2017.01.20 |
| 사물인터넷 (IoT) 환경 위협하는 악성코드들 (0) | 2016.12.07 |
댓글