2016년 3월 19일경 보고된 Rokku 랜섬웨어(Ransomware)는 최근 이메일에 첨부된 JS 스크립트 파일 또는 MS Word 문서(DOC)를 통해 감염되는 Locky 랜섬웨어과 유사성이 있는 것으로 알려져 있습니다.
특히 Rokku 랜섬웨어는 폐쇄적인 내부망에서도 파일 암호화를 수행할 목적으로 오프라인 암호화(Offline Encryption)을 통해 C&C 서버 통신없이 자동으로 암호화가 진행되는 특징이 있는 MAKTUB Locker 랜섬웨어의 특징도 포함하고 있습니다.
또한 결제 방식이 PC 이외에 모바일에서도 비트코인(Bitcoin) 가상 화폐 결제가 가능하도록 QR 코드를 포함하고 있습니다.
이메일로 유포되는 것으로 알려진 Rokku 랜섬웨어(SHA-1 : 49239500b0510ce7643c48ebfaf6c9e35aa1cce5 - Trend Micro : Ransom_ROKKU.B)는 실행 시 바탕 화면을 비롯한 다양한 폴더에 2개의 금전 요구 메시지 파일(README_HOW_TO_UNLOCK.HTML / README_HOW_TO_UNLOCK.TXT)을 생성한 후 하드 디스크, 외장 하드, 네트워크 공유 폴더에서 문서, 사진, 압축 파일 등을 비롯한 파일을 찾아 .rokku 확장명으로 변경하여 파일 암호화를 수행합니다.
파일 암호화 과정에서 Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스 삭제 및 시스템 복원 기능 무력화를 위한 다음과 같은 행위가 백그라운드로 진행되어 암호화된 파일을 복구할 수 없도록 조치합니다.
- "C:\Windows\System32\wbem\WMIC.exe" shadowcopy delete /nointeractive
- "C:\Windows\System32\vssadmin.exe" delete shadows /all /quiet
파일 암호화 후 Windows 부팅 시마다 금전 요구 메시지 파일을 자동 로딩하여 Tor Browser를 통해 특정 웹사이트로 접속을 유도하고 있으며, 다국어 지원을 위해 Google 번역 기능이 포함되어 있습니다.
Tor Browser를 통해 접속한 UNLOCK SERVICE 페이지에서는 암호화된 파일 1개를 업로드하거나 주문 ID를 입력하여 제출하도록 구성되어 있습니다.
이를 통해 연결된 페이지에서는 비트코인(Bitcoin) 가상 화폐 결제를 위한 주소를 제공하며, 특히 QR 코드를 추가하여 모바일을 통한 결제까지 안내하고 있습니다.
또한 Rokku 랜섬웨어에 의해 암호화된 파일을 복호화할 수 있다는 신뢰도를 제공할 목적으로 제공되는 "File Unlocker" 프로그램을 통해 암호화된 파일을 복호화할 수 있음을 보여주고 있습니다.
■ Rokku 랜섬웨어 대응 방법
Rokku 랜섬웨어는 AppCheck 랜섬웨어 백신을 통해 파일 암호화 시도 시 차단/제거 및 일부 훼손된 원본 파일을 자동으로 복구하는 것을 확인하였습니다.
또한 Rokku 랜섬웨어 감염으로 생성된 금전 요구 메시지 파일(랜섬웨어 결제 안내)도 시스템 검사 기능을 통해 제거할 수 있습니다.
Rokku 랜섬웨어는 특히 외부와의 네트워크 연결이 이루어지지 않는 환경에서도 감염될 수 있으며, 이를 통해 공유 네트워크를 통해 파일 암호화 행위가 전파될 수 있으므로 기업, 병원과 같은 환경에서는 매우 주의하시기 바랍니다.