울지않는벌새 : Security, Movie & Society

Amazon Gift Cards 결제 방식을 추가한 TrueCrypter 랜섬웨어(Ransomware) 소식

벌새::Analysis

최근 유포된 랜섬웨어(Ransomware) 중에서는 비트코인(Bitcoin) 가상 화폐 이외의 다양한 결제 방식을 추가하는 경우가 발견되고 있습니다.

 

대표적으로 Alpha 랜섬웨어는 iTunes Gift Cards 방식으로 결제를 하도록 유도한 사례가 있으며, 이 글에서 살펴볼 TrueCrypter 랜섬웨어는 Amazon Gift Cards 결제가 포함되어 있습니다.

 

생성 폴더/파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\background.jpg :: 바탕 화면 배경 지정 그림 파일

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\Encrypted.dat :: 암호화된 파일 목록

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\TrueCrypter.exe :: 시작 프로그램(TrueCrypter) 등록 파일, 메모리 상주 프로세스

 - SHA-1 : 7236dc5821b1e9fcde0a227de57f928af5f7edb5

 - ESET : MSIL/Filecoder.TrueCrypter.A

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\TrueCrypter.xml :: 공개키 정보 파일

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - TrueCrypter = C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\TrueCrypter.exe

 

 

성공적으로 설치된 TrueCrypter 랜섬웨어는 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter" 폴더에 주요 파일을 생성하며, Windows 시작 시 TrueCrypter 시작 프로그램을 등록하여 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\TrueCrypter.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 라이브러리(문서, 음악, 사진) 폴더, 바탕 화면, 휴지통 영역과 외장 하드, 공유 폴더에 존재하는 문서, 사진, 음악, 압축 등의 파일을 .enc 확장명으로 파일 암호화를 수행합니다.

 

 

이 과정에서 Ask.fm 서비스에 등록된 특정 계정에 올려진 암호화된 정보를 체크하며, 해당 값은 "m2coftkce5g4gyza.onion.gq" URL 주소와 비트코인(Bitcoin) 정보가 포함되어 있습니다.

 

 

해당 체크 정보를 기반으로 파일 암호화/복호화에 사용될 공개키(Public Key) 정보(TrueCrypter.xml)를 전송하는 것을 확인할 수 있습니다.

 

 

또한 성공적으로 파일 암호화가 완료된 후에는 바탕 화면 배경 화면을 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\background.jpg" 파일로 변경하여 특정 이메일 계정으로 요구하는 금전을 지불하지 않을 경우 72시간 후에는 복호화에 필요한 개인키(Private Key)를 삭제하겠다고 협박합니다.

 

 

또한 파일 암호화 및 결제 안내 기능을 수행하는 TrueCrypter.exe 파일은 자신의 행위를 방해하지 못하도록 작업 관리자(Taskmgr.exe) 실행 차단, 가상 환경(Sandboxie, VirtualBox, VMware), 네트워크 분석 도구를 체크합니다.

 

 

생성된 결제 안내창에서는 비트코인(Bitcoin)과 AGCs (Amazon Gift Cards) 방식으로 돈을 지불하도록 안내하고 있습니다.

 

 

TrueCrypter 랜섬웨어에 의해 암호화된 파일 목록은 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\Encrypted.dat" 파일을 참고하여 표시합니다.

 

 

지불 방식을 살펴보면 비트코인(Bitcoin) 결제 안내와 QR 코드가 포함되어 있는 것을 알 수 있습니다.

 

 

또 다른 지불 방식인 $115에 해당하는 Amazon Gift Cards를 구매하여 지정된 이메일로 발송하도록 안내하고 있습니다.

 

TrueCrypter 랜섬웨어(Ransomware)처럼 다양한 결제 방식 추가로 인하여 합법적인 결제 서비스가 범죄에 악용될 수 있음을 알 수 있습니다.

 

현재 AppCheck 안티랜섬웨어 제품을 통해 TrueCrypter 랜섬웨어 감염으로 파일 암호화 행위 수행 시 차단(제거) 및 일부 암호화된 파일을 자동 복원할 수 있는 것을 확인하였습니다.