2016년 4월경부터 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어(Ransomware) 유포 행위가 활발하게 이루어지고 있으며, 최근 국내에서도 뽐뿌 커뮤니티의 Google AdSense 광고 배너를 통해 많은 피해를 유발한 적이 있습니다.
그런데 ".crypt → .cryp1 → .cryptz" 파일 확장명으로 변하던 CryptXXX 랜섬웨어가 랜덤(Random) 확장명으로 파일 암호화를 수행하는 변종이 발견되었습니다.
"C:\Windows\SysWOW64\rundll32.exe" "C:\Users\%UserName%\AppData\Local\Temp\rad24cd3.tmp.dll" MS1
이번 역시 다양한 Exploit Kit을 통해 사용자가 특정 웹사이트 접속 시 보안 패치가 제대로 이루어지지 않은 환경인 경우 자동으로 CryptXXX 랜섬웨어(Ransomware) 감염이 이루어지며, 임시 폴더(%Temp%) 내에 랜덤(Random)한 악성 DLL 파일을 생성합니다.
생성된 DLL 악성 파일은 rundll32.exe 시스템 파일을 통해 실행되어 로컬 드라이브, 외장 하드 등에 위치한 문서, 사진을 비롯한 다양한 파일 확장명을 가진 파일들을 다음과 같이 암호화합니다.
이번 CryptXXX 랜섬웨어의 경우에는 기기마다 서로 다른 랜덤(Random) 확장명(※ 예시 : .3A8FE / .54574 / .DB6F4 / .F534C)으로 암호화되어 파일 확장명으로는 구분하기 어렵습니다.
파일 암호화 완료 후에는 바탕 화면 배경을 "C:\ProgramData\@(12자리 Random).bmp" 파일로 변경하며 Lock Screen 방식으로 Windows 화면 전체를 덮어 Windows 재부팅을 하도록 유도할 수 있습니다.
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@(12자리 Random).lnk
Windows 재부팅 과정에서 시작프로그램 폴더(Startup) 영역에 추가된 바로가기(.lnk)가 자동 실행되어 "C:\Windows\System32\regsvr32.exe" 시스템 파일(Microsoft(C) Register Server) 로딩을 통한 임시 폴더(%Temp%)에 추가된 악성 DLL 파일을 재실행하도록 할 수 있습니다.
또한 "C:\ProgramData\@(12자리 Random).bmp" 파일과 "C:\ProgramData\@(12자리 Random).html" 파일을 바로가기 방식으로 자동 실행하여 암호화된 파일을 복호화하기 위한 안내를 표시할 수 있습니다.
■ .(5자리 Random) 파일 확장명으로 암호화하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법
다양한 파일 확장명으로 암호화 행위를 수행하는 CryptXXX 랜섬웨어의 모든 변종은 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단 및 일부 훼손된 파일을 자동 복원해주고 있으므로 랜섬웨어 피해를 당하지 않도록 설치하여 예방하시기 바랍니다.
또한 기존의 CryptXXX 3.x 버전부터는 암호화된 파일을 완벽하게 복구할 수 있는 복호화 도구가 존재하지 않다는 점에서 중요 파일이 암호화된 경우 상당한 금전을 사이버 범죄자에게 지불해야 하므로 AppCheck Pro 제품의 자동 백업 기능으로 금전적 피해를 입지 않도록 하시기 바랍니다.