파일 암호화를 통해 금전 요구를 하는 대표적인 랜섬웨어(Ransomware) 계열 중 TeslaCrypt는 2015년 초에 등장하여 2016년 1월에 TeslaCrypt 3.0 버전으로 업데이트되어 유포가 이루어지고 있었습니다.
초기 버전이 출현한 후 암호화된 파일을 복호화할 수 있는 도구가 개발되어 지속적으로 변종이 개발되고 있던 과정에서 2016년 3월 중순경 TeslaCrypt 4.0 버전으로 또 다시 변신을 하였다는 소식입니다.
- 4GB 이상의 대용량 파일 암호화 시 훼손되는 문제 수정
- 더 강력한 암호화 방식으로 현존하는 방식으로는 파일 복호화 불가능
- 감염된 PC 정보 수집 : MachineGuid, DigitalProductID, SystemBiosData
TeslaCrypt 4.0 버전은 Internet Explorer/Chrome/Mozilla Firefox 웹 브라우저, Adobe Flash Player, Adobe Reader 등 제품에서 발견된 취약점을 이용하여 사용자가 최신 보안 패치가 적용되지 않은 환경에서 웹사이트 접속 시 자동으로 감염되는 방식으로 활발하게 유포가 이루어지고 있습니다.
이 글에서는 TeslaCrypt 4.0 악성 파일(SHA-1 : e2556754f0de978d51f319aab522d80a49438cde - AhnLab V3 : Trojan/Win32.Teslacrypt.R176883)을 통해 실제 감염을 통해 어떻게 시스템에 영향을 주는지 알아보도록 하겠습니다.
생성 파일 및 진단 정보(핵심 파일) |
C:\Users\(로그인 계정명)\Documents\(6자리 영문).exe :: 숨김(H) 속성, 시작 프로그램(_wjvr) 등록 파일 - SHA-1 : e2556754f0de978d51f319aab522d80a49438cde - AhnLab V3 : Trojan/Win32.Teslacrypt.R176883
|
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
최초 사용자 몰래 감염이 성공된 후에는 문서 폴더 내에 숨김(H) 속성값을 가진 EXE 악성 파일을 생성하여 외부 서버와 통신을 시도하며, 성공적으로 C&C 서버와 연결될 경우 파일 암호화 행위를 수행합니다.
파일 암호화 행위 시에는 "Microsoft(R) 볼륨 섀도 복사본 서비스용 명령줄 인터페이스" 파일을 실행하여 ["C:\Windows\System32\vssadmin.exe" Delete Shadows /All /Quiet] 볼륨 섀도 복사본 삭제 명령어를 통해 볼륨 섀도 복사본(Volume Shadow Copy) 서비스 기능 중지 및 기존에 저장한 복원점을 모두 삭제합니다.
또한 사용자가 파일 암호화 행위를 수행하는 자신의 프로세스를 강제 종료하지 못하도록 작업 관리자(Taskmgr.exe) 실행을 방해합니다.
이후 일부 폴더(Program Files, ProgramData, Windows 등)를 제외한 폴더 내에 3종의 금전 요구 메시지 파일(RECOVER(5자리 영문).html / RECOVER(5자리 영문).png / RECOVER(5자리 영문).txt)을 생성한 후 문서, 사진, 압축 등 다양한 파일을 암호화하며 특히 암호화된 파일의 파일명 및 확장명이 변경되지 않는 것이 특징입니다.
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.html
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.png
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.txt
감염된 환경에서는 Windows 시작 시 자동으로 금전 요구 메시지가 뜨도록 시작프로그램 폴더(C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs)에 HTML/PNG/TXT 파일을 추가하며, 문서 폴더에 생성된 악성 파일(EXE)도 시작 프로그램에 등록되어 자동 실행됩니다.
성공적으로 파일 암호화가 이루어진 상태에서 파일을 오픈해보면 정상적으로 표시되지 않는 것을 알 수 있습니다.
특히 Microsoft Excel 프로그램이 설치된 환경에서 TeslaCrypt 랜섬웨어에 감염된 경우 자동으로 금전 요구 메시지가 노출되는 행위가 발견되고 있습니다.
해당 문제의 원인을 살펴보면 Microsoft Excel 프로그램은 시작 시 다음과 같은 2개의 폴더를 자동으로 체크합니다.
- C:\Program Files\Microsoft Office\Office(버전 정보)\XLSTART
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Excel\XLSTART
그런데 TeslaCrypt 랜섬웨어에 감염될 경우 자동으로 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Excel\XLSTART" 폴더 내에 3종의 금전 요구 메시지 파일이 생성됩니다.
- HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC294
- HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC3EB
- HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC5FD
이로 인하여 Microsoft Excel 프로그램 실행 시 HTML, PNG, TXT 파일을 자동으로 로딩하여 표시되는 증상이 발생합니다.
■ TeslaCrypt 랜섬웨어(Ransomware)로부터 파일 암호화 예방법
TeslaCrypt 랜섬웨어는 백신 프로그램의 진단 및 C&C 서버 차단을 우회할 목적으로 지속적으로 변종을 개발하고 있으며, 이로 인하여 초기 감염자의 경우 VirusTotal 기준으로 1~2개 백신에서만 진단되는 수준입니다.
그러므로 백신에서 진단/차단할 수 없는 경우에도 파일 암호화 행위를 탐지를 사전 차단 및 암호화된 파일을 자동 복원해주는 AppCheck 랜섬웨어 백신을 함께 사용하시는 것을 추천해 드립니다.
또한 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염 방식을 예방하기 위해서는 바이로봇 APT Shield 또는 알약 익스플로잇 쉴드(ALYac Exploit Shield) 제품도 함께 사용하시기 바랍니다.
하지만 취약점(Exploit)이 없는 환경에서도 스팸 메일 첨부 파일을 통해서도 유포가 이루어진다는 점에서 사용자가 파일 실행에 더욱 주의하시기 바라며 중요 파일은 지속적으로 백업(Backup)하는 솔루션을 함께 사용하시는 것이 가장 안전합니다.