2016년 3월 중순경 이메일로 유포된 것으로 추정되는 악성 파일을 다운로드하여 실행할 경우 문서 폴더만을 표적으로 .locked 확장명으로 파일 암호화 후 금전을 요구하는 랜섬웨어(Ransomware)에 대해 살펴보도록 하겠습니다.
악성 파일은 PDF 문서 아이콘으로 위장한 Bank_Account_Summary.pdf.exe 파일명(SHA-1 : d70199063ce435bfc59a5ffafe774b3c5e2efc1e - Kaspersky : Trojan-Ransom.Win32.Crypmodadv.vpe)으로 유포된 것으로 추정되며 사용자가 PDF 문서로 오해하고 실행하도록 제작되어 있습니다.
실행된 악성 파일은 홍콩(HongKong)에 위치한 "202.181.194.227" IP 서버와 통신이 가능한지 PING 체크를 수행합니다.
이후 문서 폴더(C:\Users\(로그인 계정명)\Documents)에 존재하는 모든 파일(*.*)에 대해 AES 암호화 알고리즘을 통해 .locked 확장명으로 파일 암호화를 수행합니다.
특히 다른 폴더에 존재하는 파일은 전혀 건드리지 않으며 문서 폴더에 저장된 모든 파일에 대해 파일 암호화를 수행한다는 점이 가장 큰 특징을 가지고 있습니다.
.locked 확장명으로 파일 암호화 과정에서 생성된 "C:\Users\(로그인 계정명)\Documents\WindowsUpdate.locked" 파일에는 10자리 비밀번호와 "All your files are now under my rule, Pay me some Bitconis and make them yours" 안내 문구가 포함되어 있습니다.
또한 파일 암호화 후에는 "202.181.194.227" C&C 서버로 감염자 PC의 컴퓨터 이름과 Mac Address 값을 전송하는 행위가 이루어집니다.
하지만 정상적으로 C&C 서버와의 통신이 이루어지지 않을 경우에는 Oopz!! 메시지 창을 생성하여 "URL not reachable" 내용을 통해 연결되지 않는다고 표시합니다.
이후에는 바탕 화면 상에 "All your precious Files on your computer I have successfully encrypted!" 메시지를 표시하면 2016년 3월 19일까지 $500를 입금하지 않을 경우 $1,000로 2배 상승한다고 경고하고 있습니다.
Pay 버튼을 클릭할 경우 "h**p://202.181.194.227/cryptowall/index.html" 페이지로 연결되도록 구성되어 있지만 테스트 당시에는 정상적으로 연결되지 않고 있습니다.
정상적으로 C&C 서버와 통신이 이루어지지 않을 경우에는 지속적으로 "Are you trying to fool me? Connect me to the Internet ;)" 메시지 창을 생성하는 행위가 발생합니다.
해당 랜섬웨어(Ransomware)와 같이 하드 디스크, 외장 하드, USB, 네트워크 공유 폴더와 같은 전체 영역이 아닌 특정 폴더만을 표적으로 파일 암호화를 수행하여 금전을 요구하는 사례도 있음을 알 수 있습니다.
해당 랜섬웨어의 파일 암호화 행위에 대해서는 AppCheck 안티랜섬웨어 제품을 통해 파일 암호화 수행 시 차단/제거 및 일부 훼손된 파일을 자동 복원하는 것을 확인할 수 있습니다.