본문 바로가기

벌새::Analysis

암호화 사실을 목소리로 알려주는 Cerber 랜섬웨어(Ransomware) 주의 (2016.3.8)

반응형

최근 해외에서 새롭게 발견된 Cerber 랜섬웨어(Ransomware)는 암호화 대상 파일을 (10자리 영문+숫자).cerber 파일 확장명으로 암호화하여 비트코인(Bitcoin) 가상 화폐를 입금하도록 요구하고 있습니다.

 

실제 감염자의 감염 과정은 웹사이트 접속 과정에서 취약점(Exploit)을 이용한 자동 감염 방식으로 진행된 것으로 보이며, 기존에 나온 랜섬웨어(Ransomware)와는 다르게 파일 암호화 후 여성 목소리로 암호화 사실을 전달합니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe :: 폴더명(랜덤한 GUID), 파일명(랜덤)

 - SHA-1 : 920ba9c21b519ad7dfb9075c3860d85061cede15

 - AhnLab V3 : Trojan/Win32.Teslacrypt.R175510

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dialer.lnk :: 시작프로그램 폴더 등록값(생성 파일명에 종속)

 

C:\Windows\System32\Tasks\dialer :: 예약 작업 등록값(생성 파일명에 종속)

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - dialer = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - dialer = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
 - AutoRun = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 - Run = "C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crbr_svc_{D65FAD77-****-****-****-D2F04D37A888}

 

 

Cerber 랜섬웨어(Ransomware)는 "C:\Users\(로그인 계정명)\AppData\Roaming\{GUID}" 폴더를 생성하여 랜덤한 파일명(※ 예시 : charmap.exe, dialer.exe, Eap3Host.exe, magnify.exe, ntoskrnl.exe 등 Windows 시스템 파일명 이용)으로 생성합니다.

 

특히 해당 폴더는 시스템(S), 숨김(H) 속성값을 가지고 있으므로 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하지 않을 경우 파일 탐색기에서 찾을 수 없습니다.

해외 정보를 확인해보면 감염 과정에서 사용자의 IP 정보를 체크하여 러시아(Russia)를 비롯한 일부 국가인 경우 더 이상 진행되지 않고 종료되며, 그 외의 국가인 경우에는 악성 파일 및 자동 실행값을 등록한 후 다음과 같은 행위를 수행할 수 있습니다.

로그오프하려고 합니다.

 

이 가입에서 사용한 자격 증명을 자격 증명 저장소에서 찾을 수 없습니다.
서비스가 네트워크 제어 블록(NCB)에 대한 세그먼트에서 장기 잠금을 해제하지 못했습니다. 데이터가 오류 코드입니다.
실행 중인 다른 서비스가 종속되어 있는 서비스에 대해 중지 제어가 보내졌습니다.

Cerber 랜섬웨어(Ransomware)는 다양한 허위 오류 메시지를 생성하면서 Windows 부팅 방식을 네트워크 옵션이 추가된 안전 모드(Safe Mode)로 자동 전환한 후 재부팅을 진행합니다.

안전 모드로 자동 재부팅된 PC의 수정된 부팅 옵션을 확인할 수 있으며, 감염된 사용자 입장에서는 PC가 단순한 오류가 발생한 것으로 착각하게 만드는 것 같습니다.(※ 당연히 안전 모드 부팅이므로 파일 암호화는 진행되지 않습니다.)

감염된 사용자가 부팅 옵션을 정상 모드 또는 선택 모드로 변경하여 재부팅을 진행하면, 다양한 자동 실행값을 통해 악성 파일이 동작하여 다음과 같이 가상 이미지, 동영상, 문서, 사진, 압축, 음악 파일 등을 암호화하여 (10자리 영문+숫자).cerber 파일 확장명으로 변경합니다.

특히 국내 알약(ALYac) 무료 백신의 랜섬웨어 행위 탐지 방식과 같이 단순히 차단 후 삭제(치료)를 지원하지 않을 경우 예약 작업에 등록된 작업 스케줄러 값에 따라 1분 단위로 반복적으로 차단되었던 악성 파일을 재실행하여 파일 암호화를 수행할 수 있습니다.

  • # DECRYPT MY FILES #.html
  • # DECRYPT MY FILES #.txt
  • # DECRYPT MY FILES #.vbs

파일 암호화와 함께 각 폴더에는 3종의 금전 협박 메시지 파일이 생성되며, 메시지에서는 Tor Browser를 이용하여 decrypttozxybarc.onion 사이트의 특정 페이지로 접속하도록 안내하고 있습니다.

그런데 평소에 볼 수 없는 # DECRYPT MY FILES #.vbs 파일이 존재하며, 해당 파일은 파일 암호화 과정에서 "C:\Windows\System32\WScript.exe" 파일을 통해 Windows 제공하는 음성 서비스를 통해 여성 목소리로 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 내용을 5회 반복하여 파일이 암호화되었음을 통지합니다.

Cerber 랜섬웨어(Ransomware)에서 제공하는 Cerber Decryptor 페이지에서는 미국, 독일, 스페인, 프랑스, 중국, 일본, 포르투칼, 폴란드, 이탈리아, 터키, 아랍에미리트, 네덜란드 언어를 지원하고 있습니다.

다음 페이지에서는 제시되는 Captcha 코드를 입력한 후 진행하도록 설정되어 있습니다.

최종 페이지에서는 7일 이내에 1.24 비트코인(Bitcoin)을 지불하지 않고 기한이 경과할 경우 2.48 비트코인(Bitcoin)으로 2배 인상되는 가격 구조를 제시하고 있습니다.

 

Cerber 랜섬웨어(Ransomware)는 감염으로 인해 파일 암호화가 성공적으로 이루어진 경우에는 자동으로 생성 파일 및 레지스트리 값 일체를 자동 삭제하며, 부팅 시마다 자동으로 메시지 창을 생성하지도 않는 조용한 축에 속하는 랜섬웨어(Ransomware)입니다.

하지만 코드를 살펴보면 "Geting f*cked girl, Rule the world"와 같은 더러운 메시지를 포함하고 있습니다.

Cerber 랜섬웨어(Ransomware)는 AppCheck Pro 랜섬웨어 백신에서 효과적으로 악성 파일 차단 후 자동 치료(삭제)와 일부 암호화된 파일도 원본 파일로 성공적으로 복구하고 있는 것을 확인하였습니다.

728x90
반응형