울지않는벌새 : Security, Movie & Society

어린이 자선 단체에 기부한다는 CryptoMix 랜섬웨어 정보 (2016.5.9)

벌새::Analysis

최근 기존에 사용되던 2종의 랜섬웨어(Ransomware) 메시지 파일명을 사용하는 CryptoMix 랜섬웨어에 감염되어 금전을 입금할 경우 수익금의 일부를 돈을 지불한 피해자의 이름으로 어린이를 위한 자선 단체에 기부한다는 정보가 있어서 살펴보도록 하겠습니다.

 

해당 CryptoMix 랜섬웨어는 기존의 CryptFIle2, HydraCrypt 랜섬웨어의 변종으로 보이며, 보안 패치가 제대로 이루어지지 않은 상태로 악의적으로 조작된 웹사이트 접속 시 자동으로 감염되는 것으로 보입니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\AdobeFlashPlayer_(영문+숫자).exe

 - SHA-1 : 96ebbf821f37dc2dcebc177fc3a6c17b3171aab3

 - Microsoft : Ransom:Win32/Genasom

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Adobe Reader UpdateSoftWare = (임의의 파일 경로)

 - AdobeFlashPlayersSoftWare = C:\Users\(로그인 계정명)\AppData\Roaming\AdobeFlashPlayer_(영문+숫자).exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - *Adobe Reader Update32 = (임의의 파일 경로)

 - *AdobeFlashPlayers32 = C:\Users\(로그인 계정명)\AppData\Roaming\AdobeFlashPlayer_(영문+숫자).exe

 

 

 

CryptoMix 랜섬웨어에 감염될 경우 "C:\Users\(로그온 사용자)\AppData\Roaming\AdobeFlashPlayer_(영문+숫자).exe" 파일을 생성하며, 파일명은 사용자 기기마다 고유 ID값(영문+숫자)으로 지정됩니다.

 

생성된 파일은 시작 프로그램 등록값(Adobe Reader UpdateSoftWare, AdobeFlashPlayersSoftWare, *Adobe Reader Update32, *AdobeFlashPlayers32)을 통해 Windows 시작 시마다 자동 실행되도록 구성되어 있습니다.

 

특히 감염된 PC 환경이 네트워크 공유 폴더와 연결된 경우 공유 폴더 내에 Backup Instruction.exe 파일을 추가적으로 복사하여 사용자가 백업 관련 파일로 오해하여 실행하도록 유도하여 감염을 전파하는 특징이 있습니다. (※ Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기"에 체크되어 있으므로 반드시 폴더 옵션에서 체크 해제하시고 사용하시길 권장합니다.)

 

CryptoMix 랜섬웨어는 파일 암호화 시 "46.8.45.174" C&C 서버와의 성공적인 통신이 이루어질 경우에 다음과 같은 파일 암호화 행위가 진행됩니다.

 

각종 문서, 사진, 압축, 음악 파일 등을 암호화한 후 .id_(영문+숫자)_email_xoomx@dr.com_.code 파일 확장명으로 변경이 이루어지며, HELP_YOUR_FILES.HTML / HELP_YOUR_FILES.TXT 2종의 랜섬웨어 안내 파일을 생성합니다.

 

 

메시지 내용에서는 암호화된 파일을 해제하기 위해서는 기적을 바라며 기다릴 경우 2배로 가격이 오를 것이므로 자신에게 메일을 보내면 12시간 이내에 답변을 해줄테니 비트코인(Bitcoin)을 보내라고 적혀 있습니다.

 

만약 CryptoMix 랜섬웨어 유포자에게 메일을 보낼 경우 4시간 정도 경과할 경우 1회용 비밀 메시지 서비스의 특정 URL 주소와 비밀번호를 받을 수 있습니다.

 

 

비밀 메시지 내용을 확인해보면 5 Bitcoin (= 2,650,000원 수준)을 지불하도록 안내하고 있으며, 다음과 같은 특이한 메시지가 포함되어 있습니다.

Your money will be spent for the children charity. So that is mean that You will get a participation in this process too. Many children will receive presents and medical help!
 
And We trust that you are kind and honest person! Thank You very much! We wish You all the best! Your name will be in the main donors list and will stay in the charity history!

간단하게 내용을 확인해보면 암호 해제를 위해 돈을 지불할 경우 어린이 자선 단체에 기부를 할 것이며, 기부 시 돈을 지불한 사람의 이름으로 기부하여 자선금 목록에 길이 남을꺼라고 적혀 있습니다.

 

또한 메일을 보낸 이후에도 일정 시간이 경과하면 돈을 지불할지를 재확인하는 행위까지 이루어지고 있습니다.

 

위와 같은 랜섬웨어(Ransomware) 메시지 내용을 보니 과거 국내 불량 백신, 광고 프로그램 운영 업체에서 기부 마케팅으로 이미지 세탁을 하던 것이 생각나며 하나의 랜섬웨어 산업으로 자리잡는 것으로 보입니다.

 

CryptoMix 랜섬웨어의 파일 암호화 행위에 대해서는 AppCheck 안티랜섬웨어 제품을 통해 차단 및 일부 암호화된 파일에 대한 자동 복원이 이루어지는 것을 확인하였으며, 다양한 랜섬웨어에 대한 사전 방어 기능을 제공하고 있으므로 백신 프로그램과 함께 사용하시길 권장합니다.