본문 바로가기

벌새::Analysis

암호화 사실을 목소리로 알려주는 Cerber 랜섬웨어(Ransomware) 주의 (2016.3.8)

반응형

최근 해외에서 새롭게 발견된 Cerber 랜섬웨어(Ransomware)는 암호화 대상 파일을 (10자리 영문+숫자).cerber 파일 확장명으로 암호화하여 비트코인(Bitcoin) 가상 화폐를 입금하도록 요구하고 있습니다.

 

실제 감염자의 감염 과정은 웹사이트 접속 과정에서 취약점(Exploit)을 이용한 자동 감염 방식으로 진행된 것으로 보이며, 기존에 나온 랜섬웨어(Ransomware)와는 다르게 파일 암호화 후 여성 목소리로 암호화 사실을 전달합니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe :: 폴더명(랜덤한 GUID), 파일명(랜덤)

 - SHA-1 : 920ba9c21b519ad7dfb9075c3860d85061cede15

 - AhnLab V3 : Trojan/Win32.Teslacrypt.R175510

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dialer.lnk :: 시작프로그램 폴더 등록값(생성 파일명에 종속)

 

C:\Windows\System32\Tasks\dialer :: 예약 작업 등록값(생성 파일명에 종속)

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - dialer = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - dialer = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
 - AutoRun = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 - Run = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crbr_svc_{D65FAD77-****-****-****-D2F04D37A888}

 

 

Cerber 랜섬웨어(Ransomware)는 "C:\Users\(로그인 계정명)\AppData\Roaming\{GUID}" 폴더를 생성하여 랜덤한 파일명(※ 예시 : charmap.exe, dialer.exe, Eap3Host.exe, magnify.exe, ntoskrnl.exe 등 Windows 시스템 파일명 이용)으로 생성합니다.

 

특히 해당 폴더는 시스템(S), 숨김(H) 속성값을 가지고 있으므로 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하지 않을 경우 파일 탐색기에서 찾을 수 없습니다.

해외 정보를 확인해보면 감염 과정에서 사용자의 IP 정보를 체크하여 러시아(Russia)를 비롯한 일부 국가인 경우 더 이상 진행되지 않고 종료되며, 그 외의 국가인 경우에는 악성 파일 및 자동 실행값을 등록한 후 다음과 같은 행위를 수행할 수 있습니다.

로그오프하려고 합니다.

 

이 가입에서 사용한 자격 증명을 자격 증명 저장소에서 찾을 수 없습니다.
서비스가 네트워크 제어 블록(NCB)에 대한 세그먼트에서 장기 잠금을 해제하지 못했습니다. 데이터가 오류 코드입니다.
실행 중인 다른 서비스가 종속되어 있는 서비스에 대해 중지 제어가 보내졌습니다.

Cerber 랜섬웨어(Ransomware)는 다양한 허위 오류 메시지를 생성하면서 Windows 부팅 방식을 네트워크 옵션이 추가된 안전 모드(Safe Mode)로 자동 전환한 후 재부팅을 진행합니다.

안전 모드로 자동 재부팅된 PC의 수정된 부팅 옵션을 확인할 수 있으며, 감염된 사용자 입장에서는 PC가 단순한 오류가 발생한 것으로 착각하게 만드는 것 같습니다.(※ 당연히 안전 모드 부팅이므로 파일 암호화는 진행되지 않습니다.)

감염된 사용자가 부팅 옵션을 정상 모드 또는 선택 모드로 변경하여 재부팅을 진행하면, 다양한 자동 실행값을 통해 악성 파일이 동작하여 다음과 같이 가상 이미지, 동영상, 문서, 사진, 압축, 음악 파일 등을 암호화하여 (10자리 영문+숫자).cerber 파일 확장명으로 변경합니다.

특히 국내 알약(ALYac) 무료 백신의 랜섬웨어 행위 탐지 방식과 같이 단순히 차단 후 삭제(치료)를 지원하지 않을 경우 예약 작업에 등록된 작업 스케줄러 값에 따라 1분 단위로 반복적으로 차단되었던 악성 파일을 재실행하여 파일 암호화를 수행할 수 있습니다.

  • # DECRYPT MY FILES #.html
  • # DECRYPT MY FILES #.txt
  • # DECRYPT MY FILES #.vbs

파일 암호화와 함께 각 폴더에는 3종의 금전 협박 메시지 파일이 생성되며, 메시지에서는 Tor Browser를 이용하여 decrypttozxybarc.onion 사이트의 특정 페이지로 접속하도록 안내하고 있습니다.

그런데 평소에 볼 수 없는 # DECRYPT MY FILES #.vbs 파일이 존재하며, 해당 파일은 파일 암호화 과정에서 "C:\Windows\System32\WScript.exe" 파일을 통해 Windows 제공하는 음성 서비스를 통해 여성 목소리로 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 내용을 5회 반복하여 파일이 암호화되었음을 통지합니다.

Cerber 랜섬웨어(Ransomware)에서 제공하는 Cerber Decryptor 페이지에서는 미국, 독일, 스페인, 프랑스, 중국, 일본, 포르투칼, 폴란드, 이탈리아, 터키, 아랍에미리트, 네덜란드 언어를 지원하고 있습니다.

다음 페이지에서는 제시되는 Captcha 코드를 입력한 후 진행하도록 설정되어 있습니다.

최종 페이지에서는 7일 이내에 1.24 비트코인(Bitcoin)을 지불하지 않고 기한이 경과할 경우 2.48 비트코인(Bitcoin)으로 2배 인상되는 가격 구조를 제시하고 있습니다.

 

Cerber 랜섬웨어(Ransomware)는 감염으로 인해 파일 암호화가 성공적으로 이루어진 경우에는 자동으로 생성 파일 및 레지스트리 값 일체를 자동 삭제하며, 부팅 시마다 자동으로 메시지 창을 생성하지도 않는 조용한 축에 속하는 랜섬웨어(Ransomware)입니다.

하지만 코드를 살펴보면 "Geting f*cked girl, Rule the world"와 같은 더러운 메시지를 포함하고 있습니다.

Cerber 랜섬웨어(Ransomware)는 AppCheck Pro 랜섬웨어 백신에서 효과적으로 악성 파일 차단 후 자동 치료(삭제)와 일부 암호화된 파일도 원본 파일로 성공적으로 복구하고 있는 것을 확인하였습니다.

728x90
반응형
  • 악성코드 제작자는 여성혐오자인것같은느낌이드네요

  • 불만왕투덜이 2016.03.08 22:18 댓글주소 수정/삭제 댓글쓰기

    암호화 후 여성 목소리로 암호화 사실을 전달합니다 ㅋㅋㅋ

    대단한 놈들 젠장

    수고 하세요

  • kibmer 2016.03.09 14:39 댓글주소 수정/삭제 댓글쓰기

    cerber 랜섬웨어에 이미 걸린다음에 앱체커를 다운로드 받을 경우 파일 복구는 안되는 건가요?

  • ㅠㅠ 2016.03.21 13:05 댓글주소 수정/삭제 댓글쓰기

    랜섬웨어에 걸렸는데 앱체커 다운로드후엔 더이상 증상은 발생하지않겠죠?

    • 기존에 감염된 부분을 제거한 상태라면 더 이상 랜섬웨어 감염으로 모든 데이터가 암호화되는 일은 없을겁니다.

      그리고 랜섬웨어 감염이 이루어지지 않도록 보안 업데이트를 점검해 보시기 바랍니다.

  • 해커나쁜놈 2016.05.10 17:46 댓글주소 수정/삭제 댓글쓰기

    저도 엊그제 걸리고 멘붕이 왔습니다.
    저기 지불 사이트 가서 복구할까말까 고민하다가 깎아달라니 40% 정도는 깎아주네요.
    결국은 복구안하고 악성코드만 제거하고 복구프로그램 개발때까지 그냥 쓰려구요... ㅜㅜ
    현실적으로 복구하는 방법은 저거 밖이니... 꼭 필요하신 분들은 깎아달라해보세요.

  • 목소리 한번 들어보고 싶네요ㅋㅋㅋ
    진짜 목소리인가요? 아님 TTS인가요?

  • 어떻게 읽나요? 2016.07.23 12:28 댓글주소 수정/삭제 댓글쓰기

    서버라고 읽나요..아님 케르베르라고 읽나요 ㅠㅠ

  • 알약으로 랜섬웨어 차단 알림이 떠서 재부팅했는데요 2016.07.28 06:45 댓글주소 수정/삭제 댓글쓰기

    알약으로 정밀검사 했고 랜섬웨어 차단창이 뜨지는 않습니다
    사진이나 파일들이 실행되는데 치료가 된건지 암호화만 막은건지 모르겠네요

    암호화가 성공한 거라면 이대로 계속 컴을 써도 되는건가요?
    아님 # DECRYPT MY FILES # 파일명으로 여러개 생성됐는데 일일이 지워줘야하나요?
    Mzk랑 AppCheck 둘다 실행해야 할지... 잘 모르겠네요

    • 더 이상 파일 암호화 행위가 발생하지 않는다면 악성 파일은 제거된 것으로 보입니다.

      단지 랜섬웨어 메시지 파일은 앱체크 시스템 검사 또는 RIFR 도구(http://cafe.naver.com/malzero/113930)를 이용하여 검사해 보시기 바랍니다.

  • 이용자 2016.11.01 16:55 댓글주소 수정/삭제 댓글쓰기

    저도 리드미 걸렸습니다..aacf파일 형식인데요..거의 신종바이러스의 파일유형같습니다..ㅅㅂ

  • 이용자2 2016.11.13 16:12 댓글주소 수정/삭제 댓글쓰기

    README_hta 는 케리베르 몇 버전인가요??

  • 랜섬웨어사라졌으면 ㅎ 2017.01.28 04:00 댓글주소 수정/삭제 댓글쓰기

    정보 너무 감사합니다!
    이미 help help help 로 도배되고 안열리는 파일들이 너무 많아서
    그냥 바로 앱체커와 mzk를 깔고 실행해서 랜섬웨어 안내문과 파일들은 삭제 된 것 같은데,
    폴더 들어가니 잠겼었던 파일들이 확장명(.8a11로 끝나는)이랑 형식(안열리는)이 바뀌었어요 ㅜㅜ 이럴경우 아예 복구는 이제 불가능해진건지 궁금해서 댓글 남깁니다.

    • 현재 Cerber 랜섬웨어 버전의 경우에는 시스템 복원 기능이 켜져 있다면 복구 가능성이 있습니다.

      http://hummingbird.tistory.com/6536

      내용을 참고해 보시기 바랍니다.

  • 피해자 2017.02.14 13:30 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다

  • 이죽일놈의랜섬웨어 2017.02.27 00:02 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 help레드 버젼에 감염 된거 같은데요
    가장 우선으로 해야 하는게
    복원지점 전으로 쉐도우를 깔아야 하는지
    앱체크를 깔아야 하는지 궁금합니다.
    앱체크는유료 버젼으로 깔아야 할까요?
    컴알못이라 여쭤봅니다.

    • 우선은 http://hummingbird.tistory.com/6536 내용을 참고하여 복구 가능한지 확인해 보시기 바랍니다.

      차후에도 랜섬웨어 감염이 이루어지지 않도록 앱체크 설치와 윈도우, Flash 최신 업데이트를 반드시 하시기 바랍니다.

      앱체크 무료 버전으로 기본적으로 차단 가능하며 유료 버전은 자동 백업 기능 이용으로 더욱 안전하게 보호 받을 수 있습니다.

  • 비밀댓글입니다

    • 현재 유포되는 Cerber 랜섬웨어의 경우에는 돈을 지불하지 않는 한 복구할 수 있는 방법이 없는 상태입니다.

      단지 암호화된 파일이 위치한 드라이브에 대해 시스템 복원 기능이 켜져 있는 경우에는 http://hummingbird.tistory.com/6536 방법으로 복구할 수도 있습니다.

  • ㅁㄴㅇㄹ 2017.03.10 18:49 댓글주소 수정/삭제 댓글쓰기

    코드에 있는 Geting f*cked girl, Rule the world 뜻이 뭔가요...? 확실히 더러운 뜻인거 같습니다만 뭐라고 하는건지 궁금합니다...

  • 예방합시다. 2017.09.14 00:09 댓글주소 수정/삭제 댓글쓰기

    옛날에 한국에서 첫 서비스한 게임이 생각나네요.
    그땐 한국 운영자도 보이고 해커가 없었거든요,
    게임이 4년쯤 지난 뒤
    한국이랑 영어랑 중국통합 서버는 유저가 없어서
    이집트로 이관이 됐어요.
    거긴 게임방이 500개까지 있던데 아랍어쓰는 해커가 최대 16명이 들어가는 한방에 2~4명까지 들어온적이 있을정도로 많아요.
    고레벨의 유저도 핵을쓰더군요. ㅋㅋㅋ
    그나라 운영자도 있던데 정지만 할뿐 막을생각을..
    이젠 한국운영자도 안보이고 문의도 안받아요,,
    터키서버가 중심인지 그쪽에서 먼저나온 아이템이
    이집트서버에서 아직 나오지않은걸 막써요.
    그럼 터키는 얼마나 많을까요.. 상상도 못하겠네요 ㄷㄷ 아무튼 이런건 그쪽에서 만들었다고 봅니다.