본문 바로가기

벌새::Analysis

iTunes Gift Cards 결제 방식을 요구하는 Alpha 랜섬웨어와 복호화 도구

728x90
반응형

일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 비트코인(Bitcoin) 가상 화폐를 통해 결제를 요구하는 경향이 매우 강한데, 최근에는 Amazon Gift Cards (TrueCrypter 랜섬웨어)를 결제 수단으로 추가한 사례가 발견되었습니다.

 

특히 최근 보고된 Alpha 랜섬웨어 초기 버전(SHA-1 : 2891935a4e1f3fc25c9a7c5e962d0c41705406d3 - Kaspersky : Trojan.Win32.Reconyc.flei)은 iTunes Gift Cards를 결제 수단으로만 사용하는 경우가 발견되어 살펴보도록 하겠습니다.

 

생성 폴더/파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\Windows\svchost.exe :: 숨김(S)/시스템(S) 속성, 시작 프로그램(Microsoft) 등록 파일

 - SHA-1 : 2891935a4e1f3fc25c9a7c5e962d0c41705406d3

 - Kaspersky : Trojan.Win32.Reconyc.flei

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Microsoft = C:\Users\(로그인 계정명)\AppData\Roaming\Windows\svchost.exe

 

 

Alpha 랜섬웨어는 기본적으로 Windows 운영 체제가 설치되지 않은 다른 파티션 및 외장 하드 디스크를 대상으로 .encrypt 파일 확장명으로 파일 암호화를 수행하며, Windows 시작시 Microsoft 시작 프로그램 등록값을 통해 "C:\Users\(로그인 계정명)\AppData\Roaming\Windows\svchost.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

참고로 생성된 svchost.exe 악성 파일은 숨김(H), 시스템(S) 속성값으로 추가되므로 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하셔야 파일이 표시됩니다.

 

특히 Windows 운영 체제가 설치된 파티션의 경우에는 바탕 화면과 사진 폴더(각 8개의 파일 암호화), 웹 브라우저용 쿠키 파일 폴더(TXT 쿠키 파일 전체 암호화)만을 암호화하는 독특한 파일 암호화 영역이 설정되어 있습니다.

 

이는 랜섬웨어(Ransomware)에 대비하여 다른 파티션(저장 매체) 영역에 중요 데이터 파일을 저장하는 습관을 노리는 행위가 아닌가 추정됩니다.

 

 

파일 암호화가 완료된 시점에서는 외부 이미지 업로드 서버에 등록된 JPG 그림 파일을 다운로드하여 "C:\Users\(로그인 계정명)\newstyle.jpg" 파일로 생성하여 바탕 화면 배경을 변경하는 행위가 이루어집니다.

 

 

결제 부분을 살펴보면 파일 암호화가 이루어진 폴더에 생성된 Read Me (How Decrypt) !!!!.txt 문서를 통해 $400에 해당하는 iTunes Gift Cards를 구매한 후 특정 메일로 코드를 전달하면 복호화를 위한 파일을 받을 수 있다고 안내하고 있습니다.

 

하지만 Alpha 랜섬웨어 초기 버전은 암호화 과정에서 발견된 취약점을 이용한 복호화 방법이 확인되어 AlphaDecrypter 복호화 도구가 공개된 상태이며, 이에 따라 이후 개선된 Alpha 랜섬웨어는 암호화 루틴 처리 방식이 변경되어 복호화를 할 수 없도록 수정된 것으로 추정됩니다.

 

 

실제로 AlphaDecrypter 복호화 도구를 통해 암호화된 .encrypt 파일을 복호화를 진행해보면 정상적으로 원본 파일을 복구할 수 있는 것으로 확인되고 있으며, 언제나 그렇듯이 복호화 도구가 공개된 랜섬웨어는 문제가 되는 부분을 패치하여 더 이상 복호화할 수 없는 경우가 많습니다.

 


Alpha 랜섬웨어 역시 AppCheck 안티랜섬웨어 제품을 통해 효과적으로 파일 암호화 행위를 탐지하여 차단 및 훼손된 파일을 자동 복원하는 것을 확인할 수 있었습니다.

 

또한 파일을 외부 저장 기기에 백업을 하실 때에는 AppCheck Pro 제품에서 제공하는 것처럼 자동 백업 폴더를 보호할 수 있는 소프트웨어를 사용하시길 권장합니다.

728x90
반응형