2015년 8월경 터키(Turkey) 출신의 보안 연구가 Utku Sen은 교육 목적으로 GitHub 서비스에 오픈 소스 기반으로 "Hidden Tear"라는 랜섬웨어(Ransomware)를 제작하여 등록하였습니다.
하지만 예상대로 공개된 랜섬웨어(Ransomware)를 수정한 악성코드가 등장하였으며, 최근 새로운 변종(SHA-1 : 9ef24129226036dd33523579b8d775fca2ad6f3f - AhnLab V3 : Trojan/Win32.Ransom.C1284673, Microsoft : Ransom:MSIL/Zuquitache.A)이 유포되어 살펴보도록 하겠습니다.
특히 FAKBEM Team 랜섬웨어(Ransomware)는 파일 암호화 후 요구하는 금전 결제 외에는 PC 사용을 방해할 목적으로 화면 잠금(Lock Screen) 기능을 통해 악성 파일 제거에도 불편을 유발하고 있습니다.
■ 파일 암호화
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Microsoft = (악성 파일 경로)
다운로드된 첨부 파일을 실행하면 Microsoft 문자열로 추가된 시작 프로그램 영역에 자신을 등록하여 Windows 부팅시마다 자동 실행되도록 구성되어 있습니다.
실행된 악성 파일을 사용자가 임의로 종료하지 못하도록 Windows 작업 관리자 프로세스(taskmgr.exe)를 종료 처리합니다.
특히 레지스트리 영역에 Windows 작업 관리자 실행을 방해하기 위한 DisableTaskMgr 정책값을 추가합니다.
이를 통해 ".mp3, .js, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .pdf" 확장명을 가진 파일에 대하여 AES 암호화 알고리즘을 이용하여 파일 암호화를 진행하며 .cry 확장명을 가진 파일로 변환합니다.(※ 기존에는 .locked 확장명으로 파일 암호화를 수행하였습니다.)
- C:\Users\(사용자 계정)\Desktop\READ_ME.txt
- C:\Users\(사용자 계정)\Documents\READ_ME.txt
- C:\Users\(사용자 계정)\Music\READ_ME.txt
- C:\Users\(사용자 계정)\Pictures\READ_ME.txt
또한 파일 암호화를 수행한 폴더 내에는 비트코인(Bitcoin) 가상 화폐를 요구하는 READ_ME.txt 협박 메시지를 생성합니다.
■ 네트워크 연결
해당 랜섬웨어(Ransomware) 실행을 통한 네트워크 연결 행위를 살펴보면 감염된 PC의 IP 정보를 확인하여 감염 국가를 체크합니다.
또한 감염된 PC의 MachineGuid 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid)을 조회하여 GUID 데이터 값을 수집합니다.
그 외에도 감염된 PC의 운영 체제(ProductName) 및 서비스 팩(CSDVersion) 정보를 조회하여 전송합니다.
이를 통해 독일에 위치한 "24fkxhnr3cdtvwmy.onion.to (217.197.83.197)" C&C 서버에 비트코인(Bitcoin) 주소, GUID, Windows 운영 체제 및 서비스 팩 정보가 전송되는 것을 확인할 수 있습니다.
■ 화면 잠금
랜섬웨어(Ransomware) 감염을 통해 파일 암호화가 진행된 후에는 전체 화면을 덮는 Lock Screen 창을 생성하여 다른 모든 프로그램의 이용할 수 없도록 방해합니다.
해당 창에서는 비트코인(Bitcoin) 주소와 금액, 결제 방법 안내 링크, 구글(Google) 검색 버튼을 제시하고 있으며, 구글(Google) 연결 화면은 하단에 표시하여 사용자가 다른 웹 브라우저 사용도 못하게 차단합니다.
■ 랜섬웨어 제거 방법
화면 잠금 기능으로 인하여 사용자가 다른 응용 프로그램 실행이 원천 차단되므로 Windows 버튼을 클릭하여 생성된 시작 버튼에서 "다시 시작" 메뉴를 선택하여 Windows 재시작을 진행하시기 바랍니다.
Windows 부팅 로고가 생성되기 전에 안전 모드(F8)로 진입하여 "안전 모드(네트워킹 사용)"로 부팅하시기 바랍니다.
안전 모드로 부팅한 후 시스템 구성(msconfig)을 실행하여 시작 프로그램에 등록된 악성 파일 자동 실행값(t11)을 찾아 체크 해제한 후 Windows 재부팅을 진행하시면 더 이상 악성 파일이 자동 실행되지 않으므로 메일에서 다운로드한 첨부 파일 및 레지스트리 값을 찾아 삭제하시기 바랍니다.
해당 랜섬웨어(Ransomware)는 FAKBEM Team으로 불리우는 RaaS(Ransomware-as-a-Service)를 통해 유포가 이루어졌던 것으로 확인되고 있으며, 단순히 개인이 랜섬웨어(Ransomware)를 제작하여 유포를 하는 것이 아니라 전문 서비스 제공 조직이 탄생하여 지속적인 개발을 통해 파트너에게 공급한다는 점에서 누구나 랜섬웨어(Ransomware)를 통해 돈벌이가 가능하다는 점에서 쉽게 사라질 악성코드 계열이 아닐 것으로 보입니다.