공포 영화 쏘우(Saw)를 모티브로 제작된 것으로 보이는 Jigsaw 랜섬웨어(Ransomware)은 인터넷 연결이 이루어지지 않는 환경에서도 파일 암호화를 수행하는 오프라인 암호화(Offline Encryption) 방식이며, 특히 1시간 단위로 암호화된 파일을 삭제하는 기능까지 포함되어 있습니다.

 

다행히 정보 공개와 함께 암호화된 파일을 해제할 수 있는 JigSawDecrypter 복호화 도구가 공개된 상태입니다.

 

유포 방식은 확인되지 않았지만 사용자를 속여서 악성 파일(SHA-1 : 27d99fbca067f478bb91cdbcb92f13a828b00859 - AhnLab V3 : Trojan/Win32.Jigsaw.C1373537) 다운로드 및 실행을 하도록 유도하는 것으로 추정됩니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Drpbx

C:\Users\(로그인 계정명)\AppData\Local\Drpbx\drpbx.exe

 - SHA-1 : 27d99fbca067f478bb91cdbcb92f13a828b00859

 - ESET : a variant of MSIL/Filecoder.Jigsaw.B

 

C:\Users\(로그인 계정명)\AppData\Roaming\Frfx

C:\Users\(로그인 계정명)\AppData\Roaming\Frfx\firefox.exe

 - SHA-1 : 27d99fbca067f478bb91cdbcb92f13a828b00859

 - Trend Micro : Ransom_JIGSAW.CBQ164B

 

C:\Users\(로그인 계정명)\AppData\Roaming\System32Work
C:\Users\(로그인 계정명)\AppData\Roaming\System32Work\Address.txt
C:\Users\(로그인 계정명)\AppData\Roaming\System32Work\dr
C:\Users\(로그인 계정명)\AppData\Roaming\System32Work\EncryptedFileList.txt

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - firefox.exe = C:\Users\(로그인 계정명)\AppData\Roaming\Frfx\firefox.exe

 

악성 파일이 실행되면 자신을 firefox.exe 파일로 자가 복제한 후 또 다시 다른 위치에 drpbx.exe 파일로 한 번 더 자신을 복사하여 실행되며, 사용자를 속일 목적으로 "Thank you" 메시지를 생성합니다.

이후 하드 디스크, 외장 하드, 네트워크 공유 폴더에 저장된 문서, 그림, 음악, 압축, 동영상 등 다양한 파일 확장명에 대하여 AES+RSA 암호화 알고리즘을 통한 암호화가 진행됩니다.

정상적으로 파일 암호화가 이루어질 경우 암호화된 파일은 .fun 파일 확장명으로 일괄 변경되며 원본 파일은 삭제 처리됩니다.

이후 파일 암호화 행위를 수행한 drpbx.exe (= firefox.exe) 악성 파일은 메시지 창을 생성하여 다음과 같은 내용을 보여줍니다.

Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.

 

If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.

 

       Thank you

내용을 살펴보면 24시간 내에 $150 수준의 비트코인(Bitcoin) 가상 화폐를 지불하도록 안내하고 있으며, 1시간마다 암호화된 파일을 자동 삭제하며 72시간이 경과할 경우에는 나머지 암호화된 파일을 모두 삭제할 것이라고 경고하고 있습니다.

메시지 창에서 제공하는 "View encrypted files" 버튼을 클릭할 경우 "C:\Users\(로그인 계정명)\AppData\Roaming\System32Work\EncryptedFileList.txt" 파일을 참조하여 암호화된 원본 파일명과 삭제 여부를 표시합니다.

 

또한 제시된 비트코인(Bitcoin) 주소는 "C:\Users\(로그인 계정명)\AppData\Roaming\System32Work\Address.txt" 파일을 참조하고 있습니다.

만약 비트코인(Bitcoin)을 제시된 주소로 전송한 후 "I made a payment, now give me back my files!" 버튼을 클릭할 경우 특정 비트코인 거래 확인 서비스를 통해 지불 여부를 체크하는 행위를 수행합니다.

또한 1시간 단위로 정말로 암호화된 파일을 삭제하는지 확인해보면 "1 file will be deleted." 메시지처럼 암호화된 파일 1개를 자동 삭제하는 행위를 확인할 수 있었습니다.

 

Jigsaw 랜섬웨어 복화화 도구 : JigSawDecrypter

 

.fun 파일 확장명으로 파일을 암호화하는 Jigsaw 랜섬웨어(Ransomware)는 JigSawDecrypter 복호화 도구를 통해 암호화된 파일을 해제할 수 있습니다.

JigSawDecrypter 복호화 도구 실행하여 "Select Directory" 버튼을 클릭하여 암호화된 파일이 존재하는 폴더를 선택한 후 "Decrypt My Files" 버튼을 클릭하시면 자동으로 암호가 해제되어 원본 파일이 생성됩니다.

 

Jigsaw 랜섬웨어 대응 방법

Jigsaw 랜섬웨어 감염으로 파일 암호화 시도 시 AppCheck 안티랜섬웨어에 의한 차단/제거 및 일부 훼손된 원본 파일을 자동 복원하는 것을 확인하였으므로 백신 프로그램과 함께 사용하시길 권장합니다.

 

최근 μTorrent 프로그램으로 위장한 CryptoHost 랜섬웨어 유포가 이루어졌으며, 서서히 정상적인 프로그램처럼 사용자를 속이는 사례가 증가할 수 있다는 점에서 인터넷 상에서 파일 다운로드 시 더더욱 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바