본문 바로가기

벌새::Analysis

.cryp1 파일 확장명으로 변신한 CryptXXX 랜섬웨어(Ransomware) 주의 (2016.5.27)

최근 국내에서도 다수의 감염자가 발생하고 있는 CryptXXX 랜섬웨어(Ransomware)가 지속적으로 암호화된 파일을 복구할 수 없도록 업데이트가 되는 과정에서 ".crypt → .cryp1" 파일 확장명으로 변경된 CryptXXX 랜섬웨어 변종이 확인되어 살펴보도록 하겠습니다.

 

참고로 현재 CryptXXX 2.x 버전에 감염되어 암호화된 파일에 대하여 안랩(AhnLab), Kaspersky 보안 업체에서 복구툴을 공개한 상태이므로 참고하시기 바라며, CryptXXX 3.x 버전에 감염된 경우에는 현재 공개된 복구툴이 없으므로 감염되지 않도록 주의하시기 바랍니다.

 

.cryp1 파일 확장명으로 암호화하는 CryptXXX 랜섬웨어는 기존과 마찬가지로 보안 패치가 제대로 이루어지지 않은 상태로 취약점(Exploit)을 이용한 유포 사이트를 방문(노출)할 경우 자동으로 감염되어 임시 폴더(%Temp%)내의 임의의 위치에 랜덤(Random)한 악성 DLL 파일을 생성합니다.

 

rundll32.exe "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll" MXS1

생성된 악성 DLL 파일은 "C:\Windows\SysWOW64\rundll32.exe" 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 자신을 실행하여 파일 암호화를 수행합니다.

 

이를 통해 문서, 사진, 압축, 음악 등의 개인 파일은 .cryp1 파일 확장명으로 변경되어 암호화가 진행되며 암호화가 완료될 경우 임시 폴더에 rundll32.exe 시스템 파일을 복사하지만 테스트 상에서는 0KB 파일 크기로 생성됩니다.

 

참고로 rundll32.exe 파일을 생성하는 이유는 파일 암호화 진행 전 또는 중간에 사용자가 강제로 PC를 종료할 경우를 대비하여 부팅 시 지속적인 파일 암호화를 진행할 목적입니다.

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272.lnk

자동 실행값은 시작프로그램 폴더(Startup) 영역에 추가된 !(사용자 ID).lnk 바로가기를 통해 "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\rundll32.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll,MXS3" 명령어를 수행하며, 암호화가 최종적으로 완료될 경우 해당 자동 실행값 및 악성 DLL 파일은 자동 삭제됩니다.

 

 

파일 암호화가 완료된 후 약 12분 이상 경과할 경우 Lock Screen 행위를 통해 Windows 사용을 하지 못하도록 방해하며, 사용자가 강제 재부팅을 진행하면 다음과 같은 랜섬웨어 메시지를 확인할 수 있습니다.

 

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272B.lnk :: "C:\ProgramData\!8685F973E272.bmp" 파일 실행
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!8685F973E272H.lnk :: "C:\ProgramData\!8685F973E272.html" 파일 실행

재부팅된 환경에서는 시작프로그램 폴더(Startup)에 등록된 2종의 바로가기 실행값을 통해 Tor Browser 설치 안내 및 특정 URL 주소로 접속을 안내하는 "All your files are encrypted." 랜섬웨어 메시지를 표시합니다.

 

 

또한 "C:\ProgramData\!8685F973E272.bmp" 그림 파일을 바탕 화면 배경으로 자동 설정하여 변경합니다.

 

.cryp1 파일 확장명으로 암호화하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법

 

 

지속적으로 파일 암호화 해제를 방해하며 변신을 거듭하고 있는 CryptXXX 랜섬웨어는 AppCheck 안티랜섬웨어 제품을 통해 효과적으로 암호화 행위 차단 및 일부 훼손된 원본 파일을 자동 복원하는 것을 확인하였습니다.

 

근본적으로 CryptXXX 랜섬웨어 감염자는 PC에 설치된 운영 체제 및 응용 프로그램에 대한 보안 업데이트를 제대로 하지 않은 상태로 사용하기 때문에 감염된다는 점을 명심하시고 보안 업데이트가 제대로 이루어졌는지 점검하시기 바랍니다.

  • 사용자1 2016.05.29 13:38 댓글주소 수정/삭제 댓글쓰기

    그럼 아직은 cryp1에 대한 치료법은 있지만 복구 방법이 없는거네요?

  • zhddkf345 2016.05.30 08:13 댓글주소 수정/삭제 댓글쓰기

    혹시 원격으로 도움을 주실 수 있나요...

    • 파일 암호화를 시키는 악성 파일 제거와 관련된 부분은 MZK 도구(http://cafe.naver.com/malzero/94376), 메시지 파일 제거는 http://cafe.naver.com/malzero/113930 이걸 사용해 보시기 바랍니다.

      그 외에는 제가 원격으로 도와드릴 부분이 없어 보입니다.

    • 이진주 2016.05.30 20:42 댓글주소 수정/삭제

      앱체크가깔려고하는대멈추네요...
      파일은 중요한게 없고 그저 컴퓨터만 살리거 싶을 뿐인대 설치가 안돼요ㅠㅠㅠ

    • zhddkf345 2016.05.30 21:02 댓글주소 수정/삭제

      앱체크가깔려서검사했는대유해요소가없다구떠요 .

    • 앱체크는 Windows 7 SP1 이상의 환경에서 설치됩니다.

      만약 설치 환경이 맞는데 해결되지 않는다면 업체에 문의하시기 바랍니다.

    • 앱체크의 시스템 검사는 현재 실행 중인 실행 파일에 대해서 검사 기능을 제공합니다.

      그러므로 DLL 방식이나 현재 실행 중이 아닌 경우에는 검사에서 잡지 못합니다.

  • 잉여인간 2016.05.30 13:46 댓글주소 수정/삭제 댓글쓰기

    그럼 cryp1확장명은..cryptxxx 1.x 2.x3.x 어디에도 속하디않은건가요??안랩에서 2.x까지 가능하다는데..
    Cryp1 은 어디에 셕하능건가요??3.x??의 변종인가요??

  • 하... 2016.06.01 21:51 댓글주소 수정/삭제 댓글쓰기

    복호화툴이 나올 가능성이 있는건가요? 아니면 아예 불가능한가요? 가능하면 그냥 이대로 두고 기다려보겠는데 가능성이없다면ㅠㅠ
    그냥 파일 다 날리고 초기화해야겠죠ㅠㅠ

  • 갑돌이 2016.06.03 21:19 댓글주소 수정/삭제 댓글쓰기

    제가 이 녀석에게 감염된 상태입니다.
    그냥 쿨하게 돈내고 해제하고 싶은데..어떻게 하는 건지 모르겠네요.
    그리고 얼마나 요구할까요?

    • 정해진 기간 안에는 500달러 수준이고 기간이 넘으면 2배로 가격이 증가하는 것 같습니다.

      아마 복구업체를 통할 경우 수수료로 20~30만원은 덤으로 더 줘야할겁니다.

  • 비밀댓글입니다

    • 현재 .crypt 확장명으로 암호화하는 3.x 버전도 거의 풀기 어렵기에 .cryp1은 더욱 쉽지 않을겁니다.

      우선은 복구가 필요한 파일을 따로 백업해 두시기 바랍니다.

  • 여왕벌 2016.06.04 21:26 댓글주소 수정/삭제 댓글쓰기

    이틀전 crpy1랜섬웨어에 감염되서 MZK도구 사용해서 제거는 했는데 자동삭제 된 건지 제거 된 건지 확실친 않지만 문서 파일 만들어서 확인해봤는데 더이상 crpy1으로 압축 현상은 발생되지 않는 것으로 보아 제거 된 것 같습니다만 그 후 컴터를 부팅 할 때마다 C:\Users\(컴터이름)\AppData\Local\Temp\E159.tmp.dll을 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다. 이케 RunDLL 오류가 가 뜹니다. 이런 경우 어케 해야 할까요?

    • CryptXXX 랜섬웨어는 시작프로그램 폴더에 부팅 시 자동 실행하도록 등록합니다.

      C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 폴더에 존재하는 바로가기 파일을 찾아 삭제하시기 바랍니다.

    • 여왕벌 2016.06.05 03:14 댓글주소 수정/삭제

      고맙습니다. 벌새님 덕에 해결 됐습니다.^^

  • 악덕파파 2016.06.06 11:32 댓글주소 수정/삭제 댓글쓰기

    안녕하세요^^
    이번에 crypz 랜섬웨어 감염이되서 정보를찾아보던중억 벌새님 블로그를 보게됐습니다^^
    복호화는 포기한상태라 포맷을 하려고합니다.

    질문1. 제가 v3 실시간감시 및 웹감시기능을 켜뒀는데 잡지를 못하더군요
    앱체크프로그램을 설치하면 예방에 도움이 될까요?

    질문2. 한국랜섬웨어침해대응센터에 들어가보니
    발자국 이라는 프로그램이 있던데
    앱체크와 같이 써도 괜찮을까요?
    하는작업이 겹치는것 같으면 두개중에 추천해주실만한걸 알고 싶습니다^^

    질문3. 토렌트를 받다가 감염된것같은데
    토렌트파일 클릭하고 파일받기전에 검사를 진행해주는거겠죠?

    미리 답변 감사드리고 좋은정보 잘 보고가서 고맙습니다^^

    • CryptXXX 랜섬웨어의 모든 변종은 앱체크에서 차단이 가능합니다.

      발자국은 랜섬웨어 차단 기능이 없으며 PC에 저장된 문서, 사진 등의 일체의 파일을 백업 공간에 보관하여 랜섬웨어 감염 시 암호화로부터 보호를 해주는 것으로 알고 있습니다.

      토렌트 파일과는 무관하며 그런 사이트에 접속하는 행위만으로 자동 감염될 수 있으므로 윈도우, 웹 브라우저, Flash, Java, Silverlight와 같은 PC에 설치된 프로그램에 대한 최신 보안 업데이트를 하셔야 감염되지 않습니다.

    • 악덕파파 2016.06.06 14:36 댓글주소 수정/삭제

      답변 감사합니다^^
      암호화 안된것만 건지고 포맷해야겠군요
      발자국이랑 앱체크랑 v3 다 써야할것같아요ㅋㅋ

  • 꾸잉꾸잉 2016.06.08 15:56 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 무료버전은 어느정도까지 차단이 가능한가요? 이 영상처럼 완벽히 차단 가능한가요? https://www.checkmal.com/page/resource/video/?detail=read&idx=56

    • 기본적으로 차단하는 기능 자체는 유/무료 버전 동일합니다. 단지 파일 암호화하는 파일의 처리 방식이 다릅니다.

      무료 버전은 차단(종료)만 시키고, 유료 버전은 차단+삭제(또는 Rename)을 하도록 합니다.

      즉 유료 버전은 차단 시 자동으로 재실행하도록 하는 일부 랜섬웨어를 빠르게 기능을 중지시킨다고 이해하시면 되겠습니다.

  • 꾸잉꾸잉 2016.06.08 16:10 댓글주소 수정/삭제 댓글쓰기

    답변 정말 빠르시네요 감사합니다 ㅎㅎ 그러면 무료버전은 결과적으로 피해를 완벽히 차단하지는 못하나요?

    • 차단 가능한 랜섬웨어 중 CryptXXX 랜섬웨어와 같이 아주 특별한 경우에만 차단은 하는데 지속적으로 재실행되어서 문제가 될 수 있습니다.

      물론 차단을 못해도 랜섬웨어 대피소 백업 폴더에 암호화된 원본 파일은 안전하게 실시간 백업합니다.

      그 외의 대부분의 랜섬웨어는 차단은 99% 동일하다고 보시면 됩니다.

    • 꾸잉꾸잉 2016.06.08 16:16 댓글주소 수정/삭제

      궁금했는데 정말 감사합니다 ㅎㅎ

    • 무료 버전은 기본 보호 대상 파일만 암호화로부터 보호해주므로 사용자가 원하는 파일의 보호를 위해서는 유료 제품을 구입하시는게 안전합니다.