본문 바로가기

벌새::Analysis

국내에서 제작되어 공개된 RensenWare 랜섬웨어 정보 (2017.4.11)

반응형

최근 디시인사이드 커뮤니티에 본인이 제작한 RensenWare 랜섬웨어(Ransomware)에 감염되었다는 게시글이 올라왔는데 어떤 이유로 해외에서 RensenWare 랜섬웨어 정보가 공유되는 일이 있었습니다.

 

 

특히 2015년경부터 급격하게 증가하기 시작한 랜섬웨어(Ransomware)로 인하여 감시가 심한 상태에서 호기심 또는 교육 목적으로 제작되어 소스가 공개되어 악용되는 일이 있기에 더욱 이슈가 된 것 같습니다.

 

 

제작자의 의도와는 다르게 해외에서 정보가 공유됨에 따라 제작자는 RensenWare 랜섬웨어에 대한 해제툴을 GitHub에 공개한 상태이며, 국내 보안 업체에 관련 정보를 제공하여 피해가 발생하지 않게 조치를 한 것으로 보입니다.

 

 

지금까지 외부에 공개된 랜섬웨어 중에 국내인이 제작한 것으로 알려진 것은 일명 Korean 랜섬웨어(Ransomware) 1종이며, 해당 랜섬웨어 역시 특정 테스트 목적으로 제작된 것이 외부에 노출되어 이슈가 된 것으로 보입니다.

 

 

그 외에 가장 한국적인 랜섬웨어로는 북한(North Korea)에서 제작하여 지속적으로 국내를 표적으로 하고 있는 VenusLocker 랜섬웨어가 있습니다.

 

비록 금전을 요구하지는 않지만 실제 감염될 경우 암호화된 파일을 복구할 수 있는 방법이 마땅찮은 RensenWare 랜섬웨어에 대해 살펴보도록 하겠습니다.

 

 

RensenWare 랜섬웨어는 실행된 PC의 모든 드라이브를 검색하여 암호화 대상 확장명을 가진 파일을 AES-256 알고리즘으로 암호화하여 .RENSENWARE 확장명을 추가합니다.

 

 

암호화 대상 파일은 총 32개(.7z, .alz, .avi, .bas, .c, .cpp, .cs, .doc, .docx, .egg, .flac, .frm, .gif, .hwp, .jpg, .js, .mkv, .mp3, .mp4, .pdf, .png, .ppt, .pptx, .psd, .rar, .raw, .txt, .vb, .wav, .xls, .xlsx, .zip)의 확장명을 가진 파일을 대상으로 암호화가 진행됩니다.

 

 

What the HELL is it?

 

Minamitsu "The Captain" Murasa encrypted your precious data like documents, musics, pictures, and some kinda project files. it can't be recovered without this application because they are encrypted with highly strong encryption algorithm, using random key.

 

How can I recover my files?

 

That's easy. You just play TH12 ~ Undefined Fantastic Object and score over 0.2 billion in LUNATIC level. this application will detect TH12 process and score automatically. DO NOT TRY CHEATING OR TEMRMINATE THIS APPLICATION IF YOU DON'T WANT TO BLOW UP THE ENCRYPTION KEY!

파일 암호화가 완료된 후에는 "Rensenware WARNING!" 메시지 창이 생성되어 "Your system have been encrypted by Rensenware!" 감염 안내를 통해 파일 복구 방법을 공개하고 있습니다.

 

 

파일 복구를 위해서는 동방성련선(Undefined Fantastic Object) 게임을 실행하여 LUNATIC 레벨로 2억점을 획득해야 한다는 조건이며, 이를 위해 게임 프로세스(th12)를 모니터링하여 게임이 실행될 경우 점수가 카운터됩니다.

 

위와 같이 공개된 RensenWare 랜섬웨어는 금전을 요구하지는 않지만 개인 파일을 암호화한다는 점은 분명하며, 당시에 GitHub에 랜섬웨어 소스를 공개한 것으로 보이므로 다른 악의적인 사용에 가능했을 수도 있습니다.

 

RensenWare 랜섬웨어 실행으로 인해 파일 암호화가 진행될 경우 AppCheck 안티랜섬웨어 제품을 차단 및 일부 암호화된 파일까지 자동 복원이 이루어지는 것을 확인하였습니다.

 

차후에라도 이번 사례와 유사하게 호기심 또는 능력 인증을 목적으로 타인에게 피해를 유발할 수 있는 랜섬웨어(Ransomware)를 제작하여 소스나 실행 파일을 인터넷 상에 공개하는 일이 없도록 하시기 바랍니다.

728x90
반응형