CTB Locker 랜섬웨어

   

랜섬웨어 악성코드는 주로 문서나 컴퓨터 시스템의 정상적인 사용을 방해하고, 대가로 금전을 요구하는 방식으로 이루어져 있다.

최근 스팸메일의 첨부파일을 통해 랜섬웨어가 유포되고 있어 사용자의 각별한 주의가 필요하다.

악성코드를 유포하는 스팸메일 중 하나를 확인해보겠다.

 

[그림 1] 메일 원본

 

첨부파일은 압축되어 있으며, 압축을 풀면 아래 파일을 확인할 수 있다. 파일의 확장자는 일반적인 실행파일의 확장자인 'EXE'가 아니다. 화면보호기 파일의 확장자인 'SCR'이다. 하지만 대부분 사용자는 윈도우 탐색기 옵션 중 '[폴더 옵션] - [알려진 파일 형식의 파일 확장명 숨기기]'를 사용하기 때문에, 파일명인 'hunkered'만 표기된다.

이 때문에 사용자는 별다른 의심 없이 파일을 실행하게 된다.

 

[그림 2] 확장자가 보이지 않는 상태(좌) / 확장자가 보이는 상태(우)

 

파일 'hunkered.scr'을 실행하면, 문서파일이 사용자에게 보여진다.

 

[그림 3] 문서의 내용

 

실행된 파일은 단순한 문서파일이다. 그러나 파일 실행과 동시에 또 다른 악성파일을 생성하며, 외부 네트워크에 연결을 시도한다.

 

[생성되는 파일]

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hunkered.rtf     C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\12200593.exe (랜덤 파일명) C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qgkhcub.exe

[표 1] 생성되는 파일

 

외부 네트워크 연결]

157.56.96.56:80 → windowsupdate.microsoft.com 2**.1**.3*.1**:443 1**.9*.*.7:443 2**.1**.3*.1*:443[ 2**.1**.3*.3:443 46.19.37.108:80 → ip.telize.com 1**.*5.3*.5:443 1**.15*.1**.7*:443 7*.*3.*7.*4:9090 1*.*9.*6.*2:443 1*.*1.*6.*6:443 1*.1*.1*.*2:443 8*.*9.**.*8:443

[표 2] 외부 네트워크 연결

 

네트워크 연결을 시도하는 IP 중 일부는 Tor 네트워크로 접속을 시도한다. 이는 Tor 네트워크 특성 상 추적이 힘든 점을 이용한 것으로, 공격자가 사용자의 정보 수집 시 이용하는 것으로 추정된다.

 

생성하는 파일 '12200593.exe (랜덤 파일명)'과 'qgkhcub.ex'e'는 같은 파일이며, 파일 'qgkhcub.exe'이 시스템에 존재하는 파일을 암호화한다.

 

파일 'qgkhcub.exe'이 실행되면 다음과 같이 사용자에게 파일이 암호화된 사실과 복호화하는 방법을 바탕화면 및 경고 팝업창을 통해 알린다.

 

[그림 4] 변경된 바탕화면

 

[그림 5] 사용자에게 띄워주는 경고 팝업창

 

악성코드에 의해 아래 확장자 파일을 모두 암호화 시키며, 암호화하는 파일 확장자를 살펴보면 아래와 같다.

 

[암호화 대상 파일 확장자]

.AI, .C, .CDR, .CER, .CRT, .DBF, .DER, .DOC, .DOCM, .DOCX, .EPS, .JPEG, .JPG, .JS, .MDB, .P12, .PAS, .PDF, .PFX, .PHP, .PL, .PPT, .PPTX, .PST, .PY, .RTF, .SQL, .TXT, .XLK, .XLS, .XLSM, .XLSX, etc

[표 3] 암호화 대상 파일 확장자

 

암호화 대상 파일 확장자에는 '공인 인증서 관련 파일, 그림 파일, 문서 파일, 아웃룩 데이터 백업 파일' 등 사용자들이 자주 사용하는 것들이 주를 이루고 있다. 이 때문에 랜섬웨어에 감염된 사용자들은 많은 불편을 겪는다.

또한, 이전의 랜섬웨어와 동일하게 사용자에게 테스트로 암호화된 파일을 복호화하는 기능을 제공하며, 이를 통해 사용자에게 결제를 유도한다.

 

[그림 6] 사용자의 결제를 유도하는 메시지

 

암호화되는 파일들은 아래 [그림 7]와 같이 확장자 뒤에 랜덤문자열로 구성된 문자가 추가된다.

 

[그림 7] 암호화되어 확장자가 변경된 파일

 

이후 파일 복호화를 위해 진행하면 다음과 같이 비트코인 결제를 안내한다.

 

[그림 8] 비트코인 결제방법 안내

 

하지만, 여기서 알아야 할 것은 결제를 하더라도 파일 복구가 될 가능성은 적다는 것이다.

 

그렇다면, 랜섬웨어에 감염되지 않으려면 어떻게 해야 하는 걸까?

 

랜섬웨어는 보통 메일을 통해 유포되는 경우가 많다. 그러므로 출처가 확인되지 않은 메일의 첨부 파일의 실행은 하지 말아야 한다. 또한, 메일의 내용을 읽어서 스팸 메일 여부에도 주의를 기울여야 한다.

일반 사용자들은 Windows 폴더 옵션 항목 중 "알려진 파일 형식의 파일 확장명 숨기기" 기능을 사용하고 있는 경우가 많다. 이 기능을 사용하게 되면 문서 파일과 일반적인 프로그램 파일로 위장한 실행 파일 및 화면보호기 파일을 한눈에 구별하기 힘들다. 해당 기능을 해제하면, 확장자를 혼동하여 악성코드를 실행하는 사례가 줄어들게 될 것이다.

랜섬웨어의 경우 한번 암호화가 되었을 때는 안티 바이러스 프로그램에서는 복구가 불가능하므로 주기적으로 문서 및 중요 자료들을 별도의 저장장치에 백업해두는 습관이 필요하다. 자료들을 백업해두면 악성코드에 의해 자료가 손상되거나 삭제가 된 경우 복구를 할 수 있기 때문이다.

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Agent (2015.01.20.04)

Trojan/Win32.CTBLocker (2015.01.21.04)

Trojan/Win32.Ransom (2015.01.20.04)