한국인(Korean)이 개발하고 있는 Jigsaw 랜섬웨어(.korea) 정보 (2017.7.22)

2017년 7월 중순경 한국어(Korean)를 모국어로 사용하는 것으로 추정되는 사람이 Jigsaw 랜섬웨어(Ransomware)를 한국어 버전으로 개발하고 있던 파일이 발견되었다는 소식이 있었습니다.

 

• <이스트시큐리티 알약 블로그> 한국인이 제작한 것으로 추정되는 ‘직소 랜섬웨어 변종’ 발견 (2017.7.20)

 

Jigsaw 랜섬웨어는 2016년 상반기에 최초 발견되어 현재까지 다양한 변종이 발견되고 있으며 간혹 영어(English) 버전이 아닌 특정 언어로 수정되어 유포되고 있는 것으로 알려져 있습니다.

 

 

이번에 발견된 Jigsaw 랜섬웨어 한국어 버전(SHA-1 : 101451bb44567c75205106e64f78ebcd26c6716c - Microsoft : Ransom:MSIL/JigsawLocker.A)은 WindowsApplication.exe 파일명으로 제작되고 있습니다.

 

 

참고로 발견된 해당 파일에는 스마일(Smile) 얼굴 모양을 가진 리소스가 확인되고 있으며, "C:\Users\TEST3\Desktop\랜섬 개발\Ransomware.Jigsaw\obj\x86\Release\WindowsApplication.pdb" 디버그 정보를 통해 랜섬웨어(Ransomware)에 관심이 많은 인물로 보입니다.

 

 

해외 유포 사례를 볼 때 일반적으로 메일 첨부 파일 방식으로 사용자가 실행할 경우 ".NET Framework Initialization Error" 가짜 오류 메시지 창을 생성하여 동작하도록 눈속임을 합니다.

 

생성 폴더 / 파일 및 진단 정보

C:\Users\%UserName%\AppData\Local\Drpbx C:\Users\%UserName%\AppData\Local\Drpbx\drpbx.exe :: 파일 암호화 및 메시지 창 생성  - SHA-1 : 101451bb44567c75205106e64f78ebcd26c6716c  - Microsoft : Ransom:MSIL/JigsawLocker.A   C:\Users\%UserName%\AppData\Roaming\Frfx C:\Users\%UserName%\AppData\Roaming\Frfx\firefox.exe :: 시작 프로그램(firefox.exe) 등록 파일  - SHA-1 : 101451bb44567c75205106e64f78ebcd26c6716c  - Microsoft : Ransom:MSIL/JigsawLocker.A   C:\Users\%UserName%\AppData\Roaming\System32Work C:\Users\%UserName%\AppData\Roaming\System32Work\Address.txt C:\Users\%UserName%\AppData\Roaming\System32Work\dr C:\Users\%UserName%\AppData\Roaming\System32Work\EncryptedFileList.txt

 

해당 Jigsaw 랜섬웨어는 Windows 시작 시 firefox.exe 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\Frfx\firefox.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 파일 암호화 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\Drpbx\drpbx.exe" 파일을 로딩하여 메모리에 상주시킵니다.

 

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip

Jigsaw 랜섬웨어는 위와 같은 확장명을 가진 파일에 대해 암호화하여 .korea 확장명으로 변경할 수 있습니다.

 

 

코드상으로는 AES 암호화 알고리즘을 통해 OoIsAwwS62a0s0F230ODe== 암호로 이루어질 수 있지만, 현재 확인된 파일은 실제 암호화가 진행되지는 않고 있습니다.

 

 

파일 암호화가 완료된 후에는 한국어로 금전을 요구하는 메시지 창이 생성되며, 1시간 이내에 돈을 지불하지 않을 경우 암호화된 파일 1개가 삭제된다고 안내하고 있습니다.

 

 

실제 코드를 확인해보면 암호화된 .korea 확장명을 가진 파일을 삭제할 수 있도록 제작되어 있음을 알 수 있습니다.

 

 

단지 현재 확인된 파일에서는 암호화된 파일 자체가 없으며 .korea 확장명을 가지는 일반적인 파일이 없기에 피해는 없을 것입니다.

 

 

Jigsaw 랜섬웨어 한국어 버전에서 제시한 비트코인(Bitcoin) 주소(1BsSZ5k3i6cqKV1Ybv6PgqmJQJhqgziJHt)의 경우 현재까지는 거래가 없는 상태입니다.

 

• 암호화된 파일을 삭제하는 Jigsaw 랜섬웨어와 복호화 도구 정보 (2016.4.12)

 

현재까지 발견된 Jigsaw 랜섬웨어 변종은 대부분 복호화가 가능한 수준으로 복구툴이 공개되어 있는 상태이므로 큰 문제는 없을 것으로 보이지만, 유포되는 악성코드 중 랜섬웨어가 일상화 됨에 따라 차후 국내에 최적화된 다양한 변종이 제작되어 피해를 줄 수 있으므로 중요한 자료는 반드시 2~3중의 백업을 해두시기 바랍니다.