울지않는벌새 : Security, Movie & Society

USB 드라이브를 통해 전파되는 zCrypt 랜섬웨어 주의 (2016.6.1)

벌새::Analysis

최근 해외에서 발견된 zCrypt 랜섬웨어(Ransomware)는 1차 피해자 뿐 아니라 USB 드라이브를 통해 웜(Worm)처럼 전파하는 기능이 포함되어 있다고 보고되고 있습니다.

 

최초 감염 방식은 공개되지 않았으며 VirusTotal 기준으로 유추해보면 이메일 첨부 파일 방식이 아닌가 추정됩니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zcrypt.lnk
C:\Users\(로그인 계정명)\AppData\Roaming\cid.ztxt :: 숨김(H)/시스템(S) 파일 속성

C:\Users\(로그인 계정명)\AppData\Roaming\public.key :: 숨김(H)/시스템(S) 파일 속성

C:\Users\(로그인 계정명)\AppData\Roaming\zcrypt.exe :: 숨김(H)/시스템(S) 파일 속성, 시작프로그램 폴더(zcrypt.lnk) 등록 파일

 - SHA-1 : d14954a7b9e0c778909fe8dcad99ad4120365b2e

 - Trend Micro : Ransom_CRYPAURA.SVL

 

 

최초 감염된 PC는 %AppData% 폴더에 숨김(H), 시스템(S) 속성값을 가진 zcrypt.exe 악성 파일을 생성합니다.

 

1. 시작프로그램 폴더 등록 : C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zcrypt.lnk

 

2. 시작 프로그램 등록 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt

시작프로그램 폴더와 시작 프로그램 등록값에 추가된 zcrypt 자동 실행값은 Windows 부팅 시마다 "poiuytrewq.ml" C&C 서버와의 통신에 성공할 경우 파일 암호화 기능을 수행하도록 구성되어 있습니다.

 

만약 정상적으로 암호화 코드 교환이 이루어질 경우 ".asm .aspx .avi .bmp .conf .cpp .doc .docx .html .jpeg .jpg .mdb .mkv .mp4 .odt .pdf .php .png .ppt .pptx" 등의 문서, 사진, 압축, 영상 등의 파일을 .zcrypt 파일 확장명으로 AES 암호화 알고리즘을 통해 수정을 할 수 있으며, 테스트 당시에는 서버와의 통신이 이루어지지 않는 문제로 암호화가 진행되지 않고 있습니다.

 

또한 암호화 대상 폴더의 1차 영역은 USB, 네트워크 공유 폴더부터 진행될 것으로 보입니다.

 

그런데 zCrypt 랜섬웨어 감염 과정에서 USB 드라이브가 연결된 PC 환경의 경우 자동으로 다음과 같은 자가 복제 동작이 이루어집니다.

 

USB 드라이브에 생성된 autorun.inf, system.exe 파일은 숨김(H) 속성값을 가지고 있으며, 추가된 오토런 방식을 통해 감염되지 않은 다른 PC에 접속할 경우 감염을 유발할 수 있습니다.

 

USB 드라이브를 통해 추가적인 감염이 이루어질 경우 %AppData% 폴더 영역에 관련 파일 생성 및 자동 실행값을 통해 Windows 부팅 시 파일 암호화 행위를 수행할 수 있습니다.

 

 

만약 성공적으로 파일 암호화가 이루어진 경우에는 "ALL YOUR PERSONAL FILES ARE ENCRYPTED" 내용을 가진 How to decrypt files.html 랜섬웨어 결제 안내 파일을 통해 특정 주소(C:\Users\(로그인 계정명)\AppData\Roaming\btc.addr)로 비트코인(Bitcoin) 가상 화폐를 입금하도록 안내하고 있습니다.

 

또한 해외 정보를 추가적으로 확인해보면 만약 USB 드라이브가 연결되지 PC 환경의 경우 파일 암호화 과정에서 "There is no disk in the drive. Please insert a disk into drive D:." 메시지를 통해 USB 연결을 유도할 수 있는 것으로 보입니다.

 

이전에 소개한 CryptoMix 랜섬웨어의 경우에도 감염 시 네트워크 공유 폴더에 파일 암호화 기능을 가진 악성 파일을 전파하는 수법이 발견되었지만, 네트워크 공유 폴더를 통한 전파는 동일한 네트워크 대역만을 표적으로 하는 반면 USB 드라이브 전파 방식은 폐쇄망에서도 감염될 수 있다는 점에서 파급력이 더 강할 수 있습니다.