2016년 12월 하순경부터 메일을 통해 국내 특정인을 대상으로 파일 암호화를 통해 금전 협박을 하는 랜섬웨어(Ransomware) 유포가 있었습니다.
이번 랜섬웨어(Ransomware) 유포 행위는 국내인으로 추정되는 인물이 해외에서 운영되는 Ransomware-as-a-Services (RaaS)를 통해 메일을 통해 한국(South Korea)을 표적으로 유포가 이루어진게 아닌가 의심됩니다.
이 글에서는 알약 블로그에서 언급한 EGG 압축 파일을 첨부한 메일을 통해 유포된 사례를 살펴보도록 하겠습니다.
비밀번호로 암호화된 내부지침사항.egg 압축 파일을 첨부하여 유포된 파일은 메일에 포함된 압축 비밀번호(1234)을 통해 압축 해제를 유도하고 있습니다.
- 내부지침사항.doc.lnk (SHA-1 : 41b65f36b7dd3c822acebd40e093e4b285963f12)
- 외부공문.doc (SHA-1 : bea6fc8a5ae054daab46498977608c17c42fbadc - Microsoft : Ransom:MSIL/VenusLocker.A)
압축 해제된 2개의 파일을 확인해보면 모두 MS Word 문서(.doc)처럼 보이게 구성되어 있지만, 실제로는 바로 가기(.lnk) 파일과 MS Word 문서 확장명(.doc)을 가진 실행 파일입니다.
내부지침사항.doc.lnk 바로 가기 파일을 실행할 경우 "C:\Windows\System32\cmd.exe /c 외부공문.doc" 명령어를 통해 외부공문.doc 파일을 로딩하도록 구성되어 있습니다.
외부공문.doc 파일은 사용자가 직접 실행할 경우 MS Word 프로그램을 통해 실행되더라도 실제로는 동작하지 않으며, 내부지침사항.doc.lnk 바로 가기 파일을 통해서만 동작할 수 있는 구조입니다.
실제 외부공문.doc 파일의 코드를 확인해보면 MS Word 문서(.doc)가 아닌 MZ 스트링으로 구성된 PE 실행 파일임을 알 수 있습니다.
사용자가 내부지침사항.doc.lnk 바로 가기 파일을 실행할 경우 CMD 명령어를 통해 외부공문.doc 파일을 로딩하여 다음과 같은 행위를 수행합니다.
우선 러시아(Russia)에 위치한 "ransom.jianclaioskdo.info/create.php" (158.255.5.251) C&C 서버와의 통신을 통해 실행된 PC 이름, 사용자 계정명, 언어, 실행 시간, 사용자 ID 정보를 전송합니다.
이후 하드 디스크, USB, 네트워크 공유 폴더를 대상으로 문서, 사진, 음악, 압축 파일 등에 대한 파일 암호화 행위가 진행됩니다.
암호화 대상 파일명이 영문인 경우에는 (Random 파일명).Venusf 또는 (Random 파일명).Venusp 형태로 파일 암호화가 진행됩니다.
만약 파일명이 한글인 경우에는 파일명 및 확장명 변경없이 파일 암호화가 진행되며, 특히 한글 문서(.hwp)는 암호화 대상이 아니라는 점에서 국내인이 직접 제작한 것이 아닌 해외에서 운영되는 랜섬웨어 서비스(RaaS)를 이용하여 유포 방식만 한국에 최적화한 것으로 보입니다.
모든 파일 암호화가 완료된 시점에서는 VenusLocker 랜섬웨어 메시지 창을 생성하여 72시간 이내에 1BTC 상당의 가상 화폐를 입금하도록 안내하고 있습니다.
참고로 하우리(Hauri) 보안 업체에서 언급한 2016년도 연말정산.zip 압축 파일이 첨부된 랜섬웨어 유포에서도 이 글에서 언급한 유포 조직과 매우 유사합니다.
해당 ZIP 압축 파일의 경우에는 문서 내부에 포함된 매크로(Macro) 기능을 실행하도록 유도하여 외부 서버로부터 악성 파일 다운로드를 통해 VenusLocker 랜섬웨어 행위를 수행한 것으로 추정됩니다.
- h**p://185.117.**.170/koreauac.exe (SHA-1 : 6bf35f44a2267755c2646c89c836bd618c4e964c - 알약(ALYac) : Trojan.Ransom.VenusLocker)
이번 사례와 같이 국내인으로 추정되는 파트너가 한국에 최적화된 유포 방식으로 악성코드 유포에 관여함에 따라 개인, 기업, 공공기관의 랜섬웨어(Ransomware) 감염 피해가 더욱 심해질 수 있습니다.
이번에 사용된 VenusLocker 랜섬웨어 행위는 예전부터 AppCheck 안티랜섬웨어를 통해 암호화 행위 차단 및 일부 훼손된 파일을 자동으로 복원할 수 있습니다.
그러므로 백신 프로그램의 탐지를 우회할 수 있는 다양한 랜섬웨어 변종으로부터 사용자 데이터를 보호하기 위해서는 앱체크(AppCheck) 랜섬웨어 차단 프로그램을 함께 사용하시길 권장합니다.