2016년 1월 20일경부터 해외에서 발견된 7ev3n 랜섬웨어(Ransomware)는 파일 암호화 후 Windows 재부팅을 강제로 진행한 후 Lock Screen 방식으로 PC 사용을 차단한 후 680만원 상당의 고액을 요구하는 사례가 있어서 살펴보도록 하겠습니다.

 

생성 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Local\bcd.bat :: 작업 스케줄러(uac) 등록 파일
C:\Users\(로그인 계정명)\AppData\Local\del.bat :: 드랍퍼(Dropper) 삭제 기능

C:\Users\(로그인 계정명)\AppData\Local\system.exe :: 시작 프로그램(System) 등록 파일, 메모리 상주 프로세스

C:\Users\(로그인 계정명)\AppData\Local\time.e :: 프로그램 실행 시간

C:\Users\(로그인 계정명)\AppData\Local\uac.exe :: 사용자 계정 컨트롤(UAC) 기능 무력화

C:\Users\(로그인 계정명)\Desktop\FILES_BACK.txt :: 랜섬웨어 결제 메시지

C:\Windows\System32\elsext.dll

C:\Windows\System32\Tasks\uac

 

생성 파일 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\system.exe
 - SHA-1 : 72106517c3e8d386a6d29f94913db188f3f60b06
 - 알약(ALYac) : Trojan.Ransom.Filecoder

 

C:\Windows\System32\elsext.dll

 - SHA-1 : e979a06e46ae88a0af10d60e494c1efcabb6f39b
 - Microsoft : Trojan:Win64/Bampeass!rfn

 

 

유포 방식은 확인되지 않지만 7ev3n 랜섬웨어(SHA-1 : 39eff0a248b7f23ee728396968e9279b241d2378 - Microsoft : Ransom:Win32/Empercrypt.A) 감염이 이루어질 경우 "C:\Users\(로그인 계정명)\AppData\Local" 폴더와 시스템 폴더 내에 악성 파일 생성이 이루어집니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

파일 암호화 수행 이전에 "C:\Users\(로그인 계정명)\AppData\Local\uac.exe" 파일(SHA-1 : 88f252541b4a66da88202aa6f544f0d4e1cc418c)을 통해 사용자 계정 컨트롤(UAC) 알림 기능 설정을 변경하도록 레지스트리 값을 수정합니다.

 

이후 "C:\Users\(로그인 계정명)\AppData\Local\system.exe" 파일의 주된 기능인 PC에 저장된 문서, 사진, 압축 파일(doc, jpg, pdf, txt, zip 등) 등을 검색하여 (숫자).R5A 파일 패턴으로 암호화를 수행합니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout
 - Scancode Map

또한 [C:\Windows\System32\cmd.exe /c REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d "0000000000000000170000000000380 ~ (생략) ~ d0000005de000000000" /f /reg:64] 명령어를 통해 특정 키보드 기능을 무력화 목적으로 Scancode Map 바이너리 값(MD5 : 58f677e327cf575ed62803d879914f00)을 추가합니다.

 

  • bcdedit /set {current} bootems no :: 응급관리서비스(Emergency Management Services) 사용 안 함
  • bcdedit /set {current} advancedoptions off :: 고급 옵션 메뉴 사용 안 함
  • bcdedit /set {current} optionsedit off :: 부팅 옵션 편집 사용 안 함
  • bcdedit /set {current} bootstatuspolicy IgnoreAllFailures :: Windows 오류 복구 알림창 표시 안 함
  • bcdedit /set {current} recoveryenabled off :: 복구 모드 사용 안 함

특히 Windows 복구 옵션 무력화를 목적으로 "C:\Users\(로그인 계정명)\AppData\Local\bcd.bat" 파일 실행을 통해 BCDEDIT 명령어를 수행합니다.

 

bcd.bat 배치 파일은 예약 작업 영역의 uac 작업 스케줄러 값으로 추가되어 Windows 부팅 시마다 무력화 행위를 수행할 수 있도록 구성되어 있습니다.

 

모든 파일 암호화 및 복구 기능을 무력화한 후에는 "shutdown -r -t 10 -f" 명령어 수행을 통해 자동으로 1분 이내에 로그오프를 시도하여 강제로 Windows 재부팅을 수행합니다.

 

생성 / 변경 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys
 - Flags = 510 :: 변경 전
 - Flags = 506 :: 변경 후

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - rgd_bcd_condition = 1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - System = C:\Users\(로그인 계정명)\AppData\Local\system.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = explorer.exe :: 변경 전
 - Shell = C:\Users\(로그인 계정명)\AppData\Local\system.exe :: 변경 후

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B123F65C-4814-411E-B11E-AB09A2F04442}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout
 - Scancode Map

 

 

Windows 부팅 시에는 System 시작 프로그램 등록값 및 Winlogon 레지스트리 값을 통해 Lock Screen 기능을 수행하는 "C:\Users\(로그인 계정명)\AppData\Local\system.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

 

Windows 재부팅이 이루어진 상태에서는 "YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n" 메시지 창으로 전체 화면을 가리고 다른 프로그램 기능을 완전히 이용할 수 없도록 Lock Screen 방식으로 동작합니다.

 

해당 내용을 살펴보면 96시간(4일) 이내에 특정 비트코인(Bitcoin) 주소로 13 Bitcoin을 입금하라고 표시되어 있으며, 테스트 당시 시세로 $5,873 (= 6,877,000원) 상당의 금액이며, 현재까지 알려진 랜섬웨어(Ransomware) 중 최고 수준의 가격을 요구하고 있습니다.

 

하지만 7ev3n 랜섬웨어는 현실적으로 암호화된 PC를 전혀 사용할 수 없도록 방해한다는 점에서 최근에는 Lock Screen 기능이 제거된 7ev3n-HONE$T 랜섬웨어가 등장하여 유포되고 있는 것으로 보고되고 있습니다.

 

 

7ev3n 랜섬웨어(Ransomware) 감염으로 인하여 파일 암호화 수행 시 AppCheck 안티랜섬웨어 제품이 탐지 및 차단(제거), 일부 암호화된 파일을 자동 복원하는 것을 확인할 수 있었으며 이를 통해 Lock Screen 행위로 연결되지 않도록 방어가 가능합니다.

 

마지막으로 BCDEDIT 명령어를 통해 시스템 복구 기능을 무력화하여 Lock Screen 기능을 수행할 경우 안전 모드로 진입할 수 없는 문제가 발생하며, 이런 경우에는 Windows DVD/USB를 통해 컴퓨터 복구로 부팅하여 명령 프롬프트 메뉴로 BCDEDIT 명령어로 무력화된 기능을 재활성화하는 방법이 있습니다.

 

하지만 위와 같은 명령어 처리 후에는 재부팅 이전에 안전 모드(F8)로 우선 진입하여 Lock Screen 기능을 수행하는 관련 파일 등을 제거한 후 정상 부팅을 해야하는데 세부적인 정보가 없는 경우에는 매우 어렵다는 점에서 현실적으로 복구에 어려움이 예상됩니다.

 

그러므로 BCDEDIT 명령어로 복구 기능을 무력화하는 랜섬웨어(Ransomware) 또는 악성코드에 감염되지 않도록 사용자가 더욱 보안에 신경을 쓰도록 노력해야 할 것입니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..