2016년 4월 중순경부터 보안 패치가 제대로 적용되지 않은 PC 환경에서 웹사이트 접속 과정에서 Angler Exploit Kit을 통한 CryptXXX 랜섬웨어(Ransomware) 유포가 이루어지기 시작하였으며, 특히 기존 랜섬웨어와는 다르게 EXE 실행 파일이 아닌 DLL 파일을 통한 파일 암호화 행위를 수행하는 특징을 가지고 있습니다.

CryptXXX 랜섬웨어에 감염된 경우 다음과 같은 폴더 위치에 악성 DLL 파일을 생성하여 변종에 따라 다르지만 일정한 시간이 경과할 경우 파일 암호화를 수행한 후 자신을 스스로 삭제하여 흔적을 제거합니다.

  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{0DAB9~1}\wshelper62.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{1BCA7~1}\api-ms-win-system-p2pcollab-l1-1-0.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{49FE4~1}\api-ms-win-system-Wldap32-l1-1-0.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{C4D51~1}\clfsw32fix.dll

임시 폴더 영역에 생성된 랜덤(Random)한 CLSID 폴더명과 파일명으로 추가된 악성 DLL 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 동작합니다. 

정상적으로 암호화 행위가 진행될 경우 .crypt 파일 확장명으로 변경되며, 각 폴더에는 "de_crypt_readme.bmp / de_crypt_readme.html / de_crypt_readme.txt" 랜섬웨어 결제 안내 파일을 생성합니다. 

웹 브라우저를 통해 자동으로 오픈되는 웹페이지는 "C:\ProgramData\Microsoft\User Account Pictures\de_crypt_readme.html" 파일을 활용하고 있습니다. 

또한 바탕 화면 배경 화면은 "C:\ProgramData\Microsoft\User Account Pictures\de_crypt_readme.bmp" 파일로 변경하여 랜섬웨어 결제 안내를 표시합니다.

 

위와 같이 CryptXXX 랜섬웨어에 의해 암호화된 파일을 Kaspersky 보안 업체에서 복호화할 수 있는 Kaspersky RannohDecryptor 도구를 공개하였으며 실제 사용 방법에 대해 살펴보도록 하겠습니다. 

Kaspersky RannohDecryptor 도구는 Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.CryptXXX 진단명의 랜섬웨어에 대한 복호화 기능을 제공한다고 밝히고 있습니다. 

Kaspersky RannohDecryptor 도구를 사용하기 위해서는 암호화된 파일 중 원본 파일 1개는 반드시 확보한 상태에서 진행되므로 사전에 파일을 준비하셔야 합니다. 

옵션(Change parameters)에서는 검사 영역(Objects to scan) 지정과 복호화 후 암호화된 파일 삭제 옵션이 존재합니다. 

"Start scan" 버튼을 클릭하면 "Specify the path to encrypted file" 창이 생성되며, 사용자는 원본 파일이 확보된 1개의 암호화된 파일을 선택하시기 바랍니다. 

다음 메시지에서는 복호화 키 추출을 위해 앞서 선택한 암호화된 파일의 원본 파일을 선택하라는 내용이므로 "Continue" 버튼을 클릭하시기 바랍니다.(※ 일반적으로 Windows 운영 체제에 기본적으로 존재하는 라이브러리 그림 파일은 다른 PC에서 원본 파일을 구할 수 있습니다.) 

이후 생성된 "Specify the path to original file" 창에서 원본 파일을 선택하시면 자동으로 검사가 진행됩니다. 

모든 검사가 완료된 후 결과를 확인해보면 108개의 암호화된 파일(.crypt) 중 50개 파일이 복호화에 성공하였다는 내용이 표시되며, 세부적인 정보를 확인하기 위해서는 details 버튼을 클릭하시기 바랍니다. 

검사 결과에서는 성공한 파일(Decrypted)와 실패한 파일(Processing error)을 확인할 수 있으며, 테스트에서는 일반적으로 문서 파일은 복호화에 성공하지만 사진 등의 파일은 반복적으로 진행하여도 복호화되지 않았습니다.

 

또한 복호화 도구가 공개될 경우 랜섬웨어 제작자는 취약한 암호화 방식을 개선할 가능성이 있으며, 이로 인하여 차후 등장할 CryptXXX 랜섬웨어의 암호화는 현재의 복호화 도구로 해결되지 않을 수도 있습니다.

현재 체크멀(CheckMAL) 보안 업체에서 제공하는 AppCheck 안티랜섬웨어 제품은 CryptXXX 랜섬웨어 초기 유포부터 파일 암호화 행위를 효과적으로 차단 및 일부 훼손된 파일을 자동 복원하고 있었음을 확인할 수 있습니다.

 

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바