최근 국내에서도 다수의 감염자가 발생하고 있는 CryptXXX 랜섬웨어(Ransomware)가 지속적으로 암호화된 파일을 복구할 수 없도록 업데이트가 되는 과정에서 ".crypt → .cryp1" 파일 확장명으로 변경된 CryptXXX 랜섬웨어 변종이 확인되어 살펴보도록 하겠습니다.

 

참고로 현재 CryptXXX 2.x 버전에 감염되어 암호화된 파일에 대하여 안랩(AhnLab), Kaspersky 보안 업체에서 복구툴을 공개한 상태이므로 참고하시기 바라며, CryptXXX 3.x 버전에 감염된 경우에는 현재 공개된 복구툴이 없으므로 감염되지 않도록 주의하시기 바랍니다.

 

.cryp1 파일 확장명으로 암호화하는 CryptXXX 랜섬웨어는 기존과 마찬가지로 보안 패치가 제대로 이루어지지 않은 상태로 취약점(Exploit)을 이용한 유포 사이트를 방문(노출)할 경우 자동으로 감염되어 임시 폴더(%Temp%)내의 임의의 위치에 랜덤(Random)한 악성 DLL 파일을 생성합니다.

 

rundll32.exe "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll" MXS1

생성된 악성 DLL 파일은 "C:\Windows\SysWOW64\rundll32.exe" 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 자신을 실행하여 파일 암호화를 수행합니다.

 

이를 통해 문서, 사진, 압축, 음악 등의 개인 파일은 .cryp1 파일 확장명으로 변경되어 암호화가 진행되며 암호화가 완료될 경우 임시 폴더에 rundll32.exe 시스템 파일을 복사하지만 테스트 상에서는 0KB 파일 크기로 생성됩니다.

 

참고로 rundll32.exe 파일을 생성하는 이유는 파일 암호화 진행 전 또는 중간에 사용자가 강제로 PC를 종료할 경우를 대비하여 부팅 시 지속적인 파일 암호화를 진행할 목적입니다.

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272.lnk

자동 실행값은 시작프로그램 폴더(Startup) 영역에 추가된 !(사용자 ID).lnk 바로가기를 통해 "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\rundll32.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll,MXS3" 명령어를 수행하며, 암호화가 최종적으로 완료될 경우 해당 자동 실행값 및 악성 DLL 파일은 자동 삭제됩니다.

 

 

파일 암호화가 완료된 후 약 12분 이상 경과할 경우 Lock Screen 행위를 통해 Windows 사용을 하지 못하도록 방해하며, 사용자가 강제 재부팅을 진행하면 다음과 같은 랜섬웨어 메시지를 확인할 수 있습니다.

 

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272B.lnk :: "C:\ProgramData\!8685F973E272.bmp" 파일 실행
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272H.lnk :: "C:\ProgramData\!8685F973E272.html" 파일 실행

재부팅된 환경에서는 시작프로그램 폴더(Startup)에 등록된 2종의 바로가기 실행값을 통해 Tor Browser 설치 안내 및 특정 URL 주소로 접속을 안내하는 "All your files are encrypted." 랜섬웨어 메시지를 표시합니다.

 

 

또한 "C:\ProgramData\!8685F973E272.bmp" 그림 파일을 바탕 화면 배경으로 자동 설정하여 변경합니다.

 

.cryp1 파일 확장명으로 암호화하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법

 

 

지속적으로 파일 암호화 해제를 방해하며 변신을 거듭하고 있는 CryptXXX 랜섬웨어는 AppCheck 안티랜섬웨어 제품을 통해 효과적으로 암호화 행위 차단 및 일부 훼손된 원본 파일을 자동 복원하는 것을 확인하였습니다.

 

근본적으로 CryptXXX 랜섬웨어 감염자는 PC에 설치된 운영 체제 및 응용 프로그램에 대한 보안 업데이트를 제대로 하지 않은 상태로 사용하기 때문에 감염된다는 점을 명심하시고 보안 업데이트가 제대로 이루어졌는지 점검하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..