울지않는벌새 : Security, Movie & Society

파일명과 확장명을 변경하는 CryptXXX 랜섬웨어 변종 유포 (2016.7.10)

벌새::Analysis

암호화된 파일을 다양한 패턴으로 변경하던 CryptXXX 랜섬웨어(Ransomware)가 2016년 7월 8일경부터 파일명과 확장명 모두를 랜덤(Random)하게 변경하는 변종을 유포하고 있는 것을 확인하였습니다.

 

 

이전에 파일 확장명을 랜덤(Random)하게 변경하던 CryptXXX 랜섬웨어는 지금까지 ".crypt → .cryp1 → .cryptz → 확장명 랜덤(Random) → 파일명/확장명 변경없음" 패턴으로 변화되어 오고 있었으며 이번에 확인된 변종은 파일명과 확장명 모두가 무슨 파일인지 알 수 없도록 변경합니다.

 

"C:\Windows\SysWOW64\rundll32.exe" "C:\User\%UserName%\AppData\Local\Temp\rad359C6.tmp.dll" XMS1

CryptXXX 랜섬웨어는 Exploit Kit을 통해 보안 패치가 제대로 이루어지지 않은 PC가 웹사이트 접속 시 자동 감염이 이루어지도록 유포되고 있으며, 감염이 이루어진 경우 임시 폴더(%Temp%) 영역에 랜덤(Random)한 악성 DLL 파일을 생성하여 rundll32.exe 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 로딩되어 파일 암호화 행위를 수행합니다.

 

 

암호화가 이루어진 파일은 파일명은 원본 파일을 알아볼 수 없도록 랜덤(Random)하게 변경되며, 확장명은 5자리 패턴으로 랜덤(Random)하게 변경됩니다.

 

 

또한 파일 암호화가 이루어진 각 폴더에는 !README.HTML 랜섬웨어 메시지 파일을 생성하여 "All your files are encrypted"를 통한 암호화 사실과 함께 사용자 ID와 접속 URL 정보를 제시하고 있습니다.

 

 

또한 암호화가 이루어진 PC에서는 바탕 화면 배경을 변경하며, 시작프로그램 폴더 영역에 "C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2158EF870890.lnk" 바로가기를 추가하여 바탕 화면 배경과 동일한 "C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Network Shortcuts\!README.BMP" 그림 파일을 실행하도록 구성되어 있습니다.

 

 

최초 CryptXXX 랜섬웨어 감염 후 13분 정도 경과하는 시점에서는 Lock Screen 방식으로 Windows 사용을 할 수 없도록 전체 화면을 !README.BMP 파일로 덮어버리며 이를 통해 사용자가 Windows 재부팅을 진행하도록 구성되어 있습니다.

 

 

CryptXXX 랜섬웨어는 한국어를 비롯한 25개국 언어로 "암호 해독 서비스"를 이용할 수 있도록 제공하고 있습니다.

 

 

파일 암호화가 이루어진 후에는 100시간 이내에 비트코인(Bitcoin) 가상 화폐를 통해 UltraDeCrypter를 구입하지 않을 경우 가격이 2배로 상승할 것이라고 경고하고 있습니다.

 

파일명과 확장명을 랜덤(Random)하게 암호화하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법

 

 

AppCheck 안티랜섬웨어 제품은 암호화된 파일을 어떠한 패턴으로 변경하는 것과 상관없이 파일 암호화 행위를 탐지하여 차단할 수 있으며, 차단 과정에서 일부 훼손된 파일들까지 자동으로 복원할 수 있습니다.

 

그러므로 사용하는 백신 프로그램과 함께 AppCheck 안티랜섬웨어를 함께 사용하시면 랜섬웨어(Ransomware) 감염으로 인한 파일 암호화 피해를 예방할 수 있습니다.