본문 바로가기

벌새::Analysis

TeslaCrypt 4.0 랜섬웨어(Ransomware) 출현 소식 (2016.3.19)

파일 암호화를 통해 금전 요구를 하는 대표적인 랜섬웨어(Ransomware) 계열 중 TeslaCrypt는 2015년 초에 등장하여 2016년 1월에 TeslaCrypt 3.0 버전으로 업데이트되어 유포가 이루어지고 있었습니다.

 

초기 버전이 출현한 후 암호화된 파일을 복호화할 수 있는 도구가 개발되어 지속적으로 변종이 개발되고 있던 과정에서 2016년 3월 중순경 TeslaCrypt 4.0 버전으로 또 다시 변신을 하였다는 소식입니다.

  • 4GB 이상의 대용량 파일 암호화 시 훼손되는 문제 수정
  • 더 강력한 암호화 방식으로 현존하는 방식으로는 파일 복호화 불가능
  • 감염된 PC 정보 수집 : MachineGuid, DigitalProductID, SystemBiosData

TeslaCrypt 4.0 버전은 Internet Explorer/Chrome/Mozilla Firefox 웹 브라우저, Adobe Flash Player, Adobe Reader 등 제품에서 발견된 취약점을 이용하여 사용자가 최신 보안 패치가 적용되지 않은 환경에서 웹사이트 접속 시 자동으로 감염되는 방식으로 활발하게 유포가 이루어지고 있습니다.

 

이 글에서는 TeslaCrypt 4.0 악성 파일(SHA-1 : e2556754f0de978d51f319aab522d80a49438cde - AhnLab V3 : Trojan/Win32.Teslacrypt.R176883)을 통해 실제 감염을 통해 어떻게 시스템에 영향을 주는지 알아보도록 하겠습니다.

 

생성 파일 및 진단 정보(핵심 파일)

 

C:\Users\(로그인 계정명)\Documents\(6자리 영문).exe :: 숨김(H) 속성, 시작 프로그램(_wjvr) 등록 파일

 - SHA-1 : e2556754f0de978d51f319aab522d80a49438cde

 - AhnLab V3 : Trojan/Win32.Teslacrypt.R176883


C:\Users\(로그인 계정명)\Documents\recover_file.txt

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - _wjvr = C:\Windows\SYSTEM32\CMD.EXE /C START C:\Users\(로그인 계정명)\Documents\ovfmmi.exe

 

 

최초 사용자 몰래 감염이 성공된 후에는 문서 폴더 내에 숨김(H) 속성값을 가진 EXE 악성 파일을 생성하여 외부 서버와 통신을 시도하며, 성공적으로 C&C 서버와 연결될 경우 파일 암호화 행위를 수행합니다.

파일 암호화 행위 시에는 "Microsoft(R) 볼륨 섀도 복사본 서비스용 명령줄 인터페이스" 파일을 실행하여 ["C:\Windows\System32\vssadmin.exe" Delete Shadows /All /Quiet] 볼륨 섀도 복사본 삭제 명령어를 통해 볼륨 섀도 복사본(Volume Shadow Copy) 서비스 기능 중지 및 기존에 저장한 복원점을 모두 삭제합니다.

 

또한 사용자가 파일 암호화 행위를 수행하는 자신의 프로세스를 강제 종료하지 못하도록 작업 관리자(Taskmgr.exe) 실행을 방해합니다.

이후 일부 폴더(Program Files, ProgramData, Windows 등)를 제외한 폴더 내에 3종의 금전 요구 메시지 파일(RECOVER(5자리 영문).html / RECOVER(5자리 영문).png / RECOVER(5자리 영문).txt)을 생성한 후 문서, 사진, 압축 등 다양한 파일을 암호화하며 특히 암호화된 파일의 파일명 및 확장명이 변경되지 않는 것이 특징입니다.

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.html
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.png
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RECOVERsukqq.txt

감염된 환경에서는 Windows 시작 시 자동으로 금전 요구 메시지가 뜨도록 시작프로그램 폴더(C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs)에 HTML/PNG/TXT 파일을 추가하며, 문서 폴더에 생성된 악성 파일(EXE)도 시작 프로그램에 등록되어 자동 실행됩니다.

성공적으로 파일 암호화가 이루어진 상태에서 파일을 오픈해보면 정상적으로 표시되지 않는 것을 알 수 있습니다.

 

특히 Microsoft Excel 프로그램이 설치된 환경에서 TeslaCrypt 랜섬웨어에 감염된 경우 자동으로 금전 요구 메시지가 노출되는 행위가 발견되고 있습니다.

해당 문제의 원인을 살펴보면 Microsoft Excel 프로그램은 시작 시 다음과 같은 2개의 폴더를 자동으로 체크합니다.

 

  • C:\Program Files\Microsoft Office\Office(버전 정보)\XLSTART
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Excel\XLSTART

그런데 TeslaCrypt 랜섬웨어에 감염될 경우 자동으로 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Excel\XLSTART" 폴더 내에 3종의 금전 요구 메시지 파일이 생성됩니다.

  • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC294
  • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC3EB
  • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Resiliency\DocumentRecovery\BC5FD

이로 인하여 Microsoft Excel 프로그램 실행 시 HTML, PNG, TXT 파일을 자동으로 로딩하여 표시되는 증상이 발생합니다.

 

TeslaCrypt 랜섬웨어(Ransomware)로부터 파일 암호화 예방법

 

TeslaCrypt 랜섬웨어는 백신 프로그램의 진단 및 C&C 서버 차단을 우회할 목적으로 지속적으로 변종을 개발하고 있으며, 이로 인하여 초기 감염자의 경우 VirusTotal 기준으로 1~2개 백신에서만 진단되는 수준입니다.

그러므로 백신에서 진단/차단할 수 없는 경우에도 파일 암호화 행위를 탐지를 사전 차단 및 암호화된 파일을 자동 복원해주는 AppCheck 랜섬웨어 백신을 함께 사용하시는 것을 추천해 드립니다.

 

또한 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염 방식을 예방하기 위해서는 바이로봇 APT Shield 또는 알약 익스플로잇 쉴드(ALYac Exploit Shield) 제품도 함께 사용하시기 바랍니다.

 

하지만 취약점(Exploit)이 없는 환경에서도 스팸 메일 첨부 파일을 통해서도 유포가 이루어진다는 점에서 사용자가 파일 실행에 더욱 주의하시기 바라며 중요 파일은 지속적으로 백업(Backup)하는 솔루션을 함께 사용하시는 것이 가장 안전합니다.

  • hello 2016.03.19 17:25 댓글주소 수정/삭제 댓글쓰기

    감사합니다.

  • 감염자ㅜㅜ 2016.03.20 02:20 댓글주소 수정/삭제 댓글쓰기

    3/15일 09:30경 감염되었네요.
    gif, mp3, mkv 파일, 312mb 이상 파일 (311mb mp4파일은 감염)
    또 파일명이 긴 파일은 감염되지 않는 것 같습니다. (긴 pdf 파일명은 감염안됨)

    레지스트리 HKCU/software/결제아이디/data :: REG_BINARY 31 4d 7a ....
    이런것도 생성되네요

    • hello 2016.03.20 06:12 댓글주소 수정/삭제

      어디서 감염되신지 아시나요?
      빨리 앱체크인가 체크앱인가 설치 해야 되겠어요

  • 도와주세요ㅠㅜ 2016.04.02 13:07 댓글주소 수정/삭제 댓글쓰기

    테슬라크립트4.0 관련 글을 보고 문의드립니다.
    제가 지금 이 랜섬웨어에 걸려서 외장하드의 모든 사진파일이 암호화되었고, recover라는 메세지만 남아 있는 상황입니다.
    노트북은 바로 포맷해서 초기상태로 해놓았는데 외장하드 파일이 모두 날라가게 생겨서 속상합니다.

    이 랜섬웨어는 사실상 암호해독이 불가능하다고 보아야 하는 건가요?
    수년 뒤에라도 복구툴이 나올 가능성은 없다고 봐야 하나요?

    해커가 제시한 1파일 무료 암호해독은 해보니 되긴 되더라구요..
    그럼 이런 경우 해커가 요구한 비트코인을 구매하여 송금하면 암호화를 풀 수 있긴 한건지요?

    소중한 사진들이 모두 날아가게 생겨서 속상합니다. 도움주시면 감사하겠습니다.

    • 범죄자들이 잡힌다고 복구툴이 100% 나올지 여부도 알 수 없습니다.

      현재로서는 복구 방법은 공개된게 없으며, 일부 랜섬웨어의 경우에는 돈을 입금해서 복구툴을 제공받아도 제대로 복구되지 않는 경우도 있다고 하더군요.

      또한 정상적인 복구툴이라도 일부 파일 암호화 과정에서 파일이 깨진 경우에는 제대로 복구가 이루어지지 않을 수 있습니다.

  • 혹시 teslacrypt 3.0은 복호화툴이 나왔나요?
    mp3로 변경되는 랜섬웨어였는데요....

  • 엘비스 2016.05.26 23:22 댓글주소 수정/삭제 댓글쓰기

    안녕하세요^^ 글잘보았습니다

    저도 네이버블로그에서 보안관련 글을 작성하려고하는데요.. 해당 게시물을 참고하여 제가 직접 테스트후 게시하여도될까요?

    참고자료는 해당블로그 링크를 걸겠습니다.

    답변기다리겟습니다!

  • 랜섬웨이 피해자 2017.11.03 18:56 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 이 랜섬웨이로 소중한 사진들이 날아갔습니다.. ㅠㅠ 복구툴 다운 받았는데요.. key.dat ?? 이게 없어서 안되는건가요?? 복구툴을 클릭하니, 도수 창이 뜨지만 error라고 뜨네요.. ㅠㅠ

    랜섬웨이 걸린후 컴퓨터 고장난줄알고 사진파일 남겨두고 , 포맷 진행했거든요.. 그리고 며칠전 엡체크 깔아서 검사해봤는데, 랜섬웨이 흔적들이 남아있어서 위험요소라 하여서 치료하니 삭제되더라구요.., (이상한 랜섬웨이 관련 텍스트파일들이 삭제된듯 합니다.)

    그래서 현재 암호화된 사진들은 남아있습니다...ㅠㅠ

    복구 할수 없는건가요?? ㅠㅠ

    • TeslaCrypt 랜섬웨어는 현재 시점에서는 더 이상 활동하지 않는 것으로 보입니다.

      그리고 복구툴이 예전에 나왔었는데 그 후에 새로운 변종으로 인해 기존의 복구툴로 해결되지 않을 수 있습니다.

      말씀처럼 key.dat 파일을 요구한다면 아마도 감염된 환경에서 생성되었던 키 파일이 있었을텐데 포맷을 하시면서 파일이 삭제되었나 봅니다.

      이런 경우에는 해결이 어려울 듯합니다.