울지않는벌새 : Security, Movie & Society

cab 첨부 파일이 포함된 CTB-Locker 랜섬웨어(Ransomware) 이메일 주의 (2015.4.22)

벌새::Analysis

해외에서 발송된 스팸(Spam) 메일에 첨부된 파일을 실행할 경우 PC에 존재하는 개인 파일(사진, 문서 등)을 암호화하여 금전을 요구하는 CTB-Locker 랜섬웨어(Ransomware)에 대해 살펴보도록 하겠습니다.

CTB-Locker 랜섬웨어(Ransomware)에 대한 유포는 2015년 1월경부터 발견되고 있었으며, 국내에서도 최근까지 다수의 사용자가 메일을 통해 수신되고 있습니다.

유포에 사용된 메일을 살펴보면 "Lumezzane ITALY" 제목으로 industrie_saleri_italo_spa.zip 첨부 파일을 포함하고 있습니다.

 

ZIP 압축 파일 내부에는 industrie_saleri_italo_spa.cab 압축 파일이 포함되어 있으며, 압축을 해제할 경우 MS Word 문서 아이콘으로 제작된 industrie_saleri_italo_spa.scr 화면 보호기 파일<SHA-1 : 28f0235966ede7ff08031b5775764a47ea8b1a16 - Microsoft : TrojanDownloader:Win32/Dalexis.F, AhnLab V3 : Malware/Win32.Generic, 알약(ALYac) : Trojan.Ransom.CTBLocker (VT : 25/57)>이 있습니다.

Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목에 체크된 상태이므로 industrie_saleri_italo_spa.cab 압축 파일을 해제할 경우 industrie_saleri_italo_spa 파일로 표시되어 MS Word 문서로 착각하여 실행하는 문제가 있으므로 실수를 하지 않으려면 반드시 폴더 옵션에서 체크 해제를 하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\nuvyb.cab → industrie_saleri_italo_spa.rtf

사용자가 압축 해제한 화면 보호기 파일(.scr)을 실행하면 임시 폴더에 (Random 파일명).cab 압축 파일을 생성 및 압축 해제를 통해 industrie_saleri_italo_spa.rtf 문서 파일을 생성한 후 워드 패드(wordpad.exe)를 통해 문서를 오픈합니다.

 

이를 통해 사용자는 생성된 문서 파일로 착각을 하게 되며, 문서를 종료한 후에도 메모리에 상주하는 industrie_saleri_italo_spa.scr 파일은 5분이 경과하면 외부 서버(66.115.174.8)와 통신을 시도하며 동작과 관련된 정보(White List 등)를 받아옵니다.

 

이후 7~10분이 경과하는 시점에서 랜섬웨어(Ransomware) 동작을 위한 파일 생성 및 파일 암호화를 진행합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\dajon.exe :: 예약 작업(irebahe) 등록 파일, 랜덤(Random)한 파일명
 - SHA-1 : 756966a894b632c5071cd3a93f123a9fc8952741
 - AhnLab V3 : Trojan/Win32.CTBLocker.C819725, 알약(ALYac) : Trojan.Ransom.CTBLocker, Kaspersky : Trojan-Ransom.Win32.Foreign.mggj (VT : 11/57)


C:\Windows\System32\Tasks\irebahe

생성 파일은 감염시마다 랜덤(Random)한 파일명으로 등록되며 기존에 메모리에 상주하던 industrie_saleri_italo_spa.scr 프로세스는 자동 종료 처리됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F0EF037-ECC6-41B8-90F9-1E217E538468}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\irebahe

생성된 파일은 사용자 계정으로 로그인을 시도할 경우 예약 작업 영역에 등록된 irebahe 작업 스케줄러 값을 통해 자동 실행되어 메모리에 상주하여 바탕 화면 상단에 금전을 요구하는 창을 생성합니다.

 

이 과정에서 최초 사용자가 industrie_saleri_italo_spa.scr 화면 보호기 파일을 실행한 후 10분이 경과하는 시점에서 파일이 암호화 처리되는 동작을 살펴보도록 하겠습니다.

PC에 저장된 압축 파일(.zip, .rar 등), 그림 파일(.jpg, .bmp 등), 문서 파일(.txt, .doc, .pdf, .rtf, .odt 등), 스크립트 파일(.js 등) 등 수십종의 파일 확장자에 대하여 암호화 처리하여 (원본 파일명).(파일 확장자명).rsmuprm 암호화 파일(※ 암호화 확장자는 .atirane, .oezform, .xumohjl 등 다양하게 생성될 수 있습니다.)로 변환됩니다.

  • C:\
  • C:\Program Files
  • C:\Windows
  • C:\Users\(사용자 계정)\AppData\Local\Temp

참고로 HWP 한글 문서, PNG 그림 파일, AVI 동영상 파일과 같은 특정 확장자에 대해서는 암호화가 이루어지지 않으며, 일부 폴더 및 내부 폴더에서는 암호화가 이루어지지 않습니다.

또한 원본 파일에 대해서는 자동 삭제를 통해 사용자가 복원을 하지 못하게 방해하고 있으며, 최근 정보에 따르면 보안 삭제 방식을 도입하여 파일 복구를 더욱 어렵게 하는 랜섬웨어(Ransomware)도 존재합니다.

 

위와 같은 일련의 파일 암호화 및 원본 파일 삭제가 이루어진 후에는 다음과 같은 파일을 생성합니다.

  • C:\ProgramData\fkaxweh.html
  • C:\Users\(사용자 계정)\Documents\!Decrypt-All-Files-rsmuprm.bmp
  • C:\Users\(사용자 계정)\Documents\!Decrypt-All-Files-rsmuprm.txt

HKEY_CURRENT_USER\Control Panel\Desktop
 - Wallpaper = C:\Users\(사용자 계정)\Documents\!Decrypt-All-Files-rsmuprm.bmp

이를 통해 바탕 화면 배경 화면을 !Decrypt-All-Files-rsmuprm.bmp 그림 파일로 변경하여 "Your personal files are encrypted by CTB-Locker." 메시지를 통해 주요 파일 암호화 사실을 통보하며 비트코인(BitCoin) 가상 화폐를 통한 결제를 통해서만 비밀 인터넷 서버에 보관 중인 개인 복호화 키를 통해서만 암호를 해제할 수 있다고 안내하고 있습니다.

이후 임시 폴더에 생성된 파일(dajon.exe)은 바탕 화면 상단에 창을 생성하여 96시간 이내에 결제를 하도록 카운트(Count)를 시작하며, 암호화된 파일의 목록을 확인하기 위해서는 View 버튼을 클릭하도록 안내하고 있습니다.

 

View 버튼을 클릭할 경우 "C:\ProgramData\fkaxweh.html" 파일을 로딩하여 바탕 화면에서 언급한 결제 안내와 암호화 처리된 파일 목록을 표시합니다.

다음 "Test decryption" 단계에서는 결제 유도를 목적으로 암호화된 파일 중 5개를 무료로 해제하기 위해서는 Search 버튼을 클릭하도록 안내하고 있습니다.

Search 버튼 클릭시 자동으로 5개의 파일이 선택되며 Decrypt 버튼을 클릭할 경우 비밀 서버에서 복호화 키를 받아 자동으로 파일이 복원되는 것을 확인할 수 있습니다.

다음 단계에서는 복호화를 위해서는 3 BTC($690, 70만원 상당)에 대한 비트코인(BitCoin) 결제에 필요한 코드를 제시하며 결제가 이루어진 후 15~30분내에 결제 확인을 통해 자동으로 파일 해제가 이루어진다고 안내하고 있습니다.

특히 비트코인(BitCoin)을 소지하고 있지 않는 경우 비트코인 거래소에 대한 안내를 통해 결제를 안내하고 있습니다.

 

위와 같은 일련의 동작은 Windows 부팅시마다 반복되며 실제 암호화된 파일이 정상적으로 암호화가 이루어진 경우에는 복호화 키가 없는 경우 복원이 매우 어려울 수 있습니다.

이번에 확인된 CTB-Locker 랜섬웨어(Ransomware)가 최종 생성한 파일의 경우 AhnLab V3 보안 제품 사용자에게 노출된 대수가 70건이 넘는 피해가 발생하였을 가능성이 있습니다.

 

■ 벌새가 추천하는 임시 대응 방법

 

이메일을 통해 유포가 이루어지는 CTBLocker 랜섬웨어(Ransomware)의 경우 최초 실행 후 5~10분 동안의 잠복기가 존재할 수 있습니다.

 

그러므로 최초 실행 후 악성 파일로 판단되는 경우에는 빠른 시간 내에 Windows 작업 관리자를 실행하여 첨부 파일명을 기반으로 생성된 프로세스를 찾아 종료하시기 바랍니다.

또한 중요 파일이 보관 중인 폴더 자체를 선택하여 폴더 속성을 "읽기(R) 전용"에 체크하신 후 "이 폴더, 하위 폴더 및 파일에 변경 사항 적용"으로 변경하시기 바랍니다.(※ 빠른 조치를 위해서는 중요 파일은 특정 폴더에 저장하여 보관하시면 좋습니다.)

 

이런 경우 읽기(R) 속성값을 가진 문서, 그림 등의 파일은 랜섬웨어(Ransomware)를 통한 암호화가 적용되지 않으며, 감염된 악성 파일을 모두 제거한 후 속성값을 이전 상태로 수정을 하시면 됩니다.

 

랜섬웨어(Ransomware) 악성코드는 감염이 이루어진 후에는 돌이킬 수 없는 피해가 발생하므로 사전 차단이 매우 중요하므로 파일 평판 기능을 제공하는 백신 프로그램 사용을 매우 권장하며, 파일 암호화로 인해 피해를 입은 경우 악성 파일을 제거한 경우 복구가 이루어지지 않으며 실제 금전을 지불하여도 100% 해제된다는 보장이 없으므로 함부로 금전을 지불하는 일이 없도록 하시기 바랍니다.

 

또한 PC와 연결되지 않은 저장 장치에 주기적인 중요 파일 백업 및 시스템 전체를 복구할 수 있는 복원 솔루션을 통해 시스템을 보호하는 것도 매우 중요합니다.