본문 바로가기

벌새::Analysis

파일 암호화(.Z81928819)와 Lock Screen 기능을 가진 GhostCrypt 랜섬웨어 정보

반응형

파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware) 중에서는 파일 암호화 후 금전을 지불하지 않을 경우에는 Windows 사용을 하지 못하도록 방해하는 Lock Screen 방식이 포함되어 있는 경우가 있습니다.

 

대표적인 Lock Screen 기능이 포함된 랜섬웨어를 소개한 적이 있으며, 이번에는 2016년 2월 중순경에 유포되었던 것으로 추정되는 GhostCrypt 랜섬웨어(SHA-1 : 87a791241de2360ae39917d2238cbf70d4092569 - Microsoft : Ransom:MSIL/Ghocwalcrypt.A)에 대해 살펴보도록 하겠습니다.

 

GhostCrypt 랜섬웨어는 PDF 문서 아이콘 모양의 7-Zip SFX 실행 압축 방식으로 제작되어 메일 첨부 파일과 같은 형태로 유포되었을 것으로 추정됩니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\adobe_pdf.exe
 - SHA-1 : 3a6bec1147b7a407a5dd787dfb4d411778da2fd0
 - AhnLab V3 : Trojan/Win32.Ransom.C1345784

 

C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\DO_NOT_DELETE.txt

 

C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\lock.exe
 - SHA-1 : 9f60049755c60d23b4b005bf50e933d5a62e068a
 - avast! : MSIL:LockScreen-BJ [Trj]

 

C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\z.bat

 

 

GhostCrypt 랜섬웨어 감염이 이루어질 경우 임시 폴더(%Temp%) 내에 임의의 7z 압축 해제 임시 폴더를 생성하여 파일 암호화 기능을 수행하는 adobe_pdf.exe 파일과 Lock Screen 기능을 가진 lock.exe 파일 등을 생성합니다.

 

파일 암호화 행위가 진행되면 문서, 사진, 압축, 음악 파일 등이 .Z81928819 파일 확장명으로 변경되어 암호화가 진행되며, 현재 GhostCrypt 랜섬웨어로 암호화된 파일에 대한 복호화 도구는 공개된 상태입니다.

 

 

파일 암호화 이후 금전 요구 메시지는 바탕 화면에 READ_THIS_FILE.txt 파일을 생성하는 전형적인 랜섬웨어 모습을 보이고 있습니다.

 

그런데 파일 암호화 과정에서 z.bat 배치 파일이 실행되어 시작프로그램 폴더(C:\Users\(로그온 사용자)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 영역에 Lock Screen 기능을 수행하는 lock.exe 파일을 복사(Copy)하는 행위가 이루어집니다.

 

 

이후 파일 암호화가 완료되는 순간 lock.exe 파일이 자동 실행되어 Windows 사용을 하지 못하도록 Lock Screen 기능이 동작하며, Windows 재부팅 이후에도 시작프로그램 폴더에 추가된 lock.exe 파일을 통해 Windows 화면으로 진입을 하지 못하도록 방해합니다.

 

 

해당 Lock Screen 문제를 해결하기 위해서는 Windows 부팅 과정에서 안전 모드(네트워킹 사용)로 진입하는 방법을 선택하시기 바랍니다.

 

안전 모드로 진입 후에는 시작프로그램 폴더에 등록된 "C:\Users\(로그온 사용자)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe" 파일을 삭제한 후 정상 모드로 Windows 부팅을 진행할 경우 더 이상의 Lock Screen 행위는 발생하지 않습니다.

 

AppCheck 안티랜섬웨어 제품의 경우 GhostCrypt 랜섬웨어 실행으로 파일 암호화 직후 Lock Screen이 발생하는 상황 속에서도 효과적으로 파일 암호화 행위 차단 및 일부 암호화된 파일을 자동 복원하는 능력을 보여주고 있으므로 위와 같은 랜섬웨어 피해를 당하지 않도록 앱체크(AppCheck)를 설치하여 사전에 예방하시기 바랍니다.


GhostCrypt 랜섬웨어를 비롯하여 일부 랜섬웨어(Ransomware)는 단순히 파일 암호화 행위에서 끝나지 않고 Windows 사용 자체를 방해하는 경우도 있다는 점에서 감염되지 않도록 주의하시기 바랍니다.

728x90
반응형