파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)가 유행함에 따라 최근 암호화 대신 파일 삭제 후 금전을 요구하는 가짜(Fake) 랜섬웨어가 서서히 등장하고 있습니다.
최근에 소개한 AnonPop 랜섬웨어처럼 원본 파일을 삭제한 후 랜섬웨어 메시지를 생성하여 금전을 요구하고 있으며, 특히 Lock Screen 방식 또는 지속적인 Windows 재부팅을 통해 파일 상태를 파악할 수 없도록 하는 특징을 가지고 있습니다.
이번에 살펴볼 CryptoFinancial 랜섬웨어(SHA-1 : 384be046906a9ae9a5fe22688cc1a62524f3c262 - Trend Micro : Ransom_CRYPFINAN.A)는 감염 시 다음과 같은 파일을 생성합니다.
|
생성 파일 및 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\winopen.exewinopen.exe - SHA-1 : aa46ae045096c42bdc30103fa772dac12e8d09dd
C:\Users\%UserName%\AppData\Roaming\winstrsp.exe
C:\Users\%UserName%\Desktop\Payment_Instructions.jpg
C:\Windows\System32\Tasks\Update\WVGtpmEUlXdWVGtpmEUlXdhuSpCpqZGMuTRLhuSpCpqZGMuTRL
|
감염된 PC는 라이브러리(동영상, 문서, 사진, 음악)와 바탕 화면 영역에 존재하는 개인 폴더 및 파일들을 암호화 대신 일괄 삭제를 시도합니다.
이후 임시 폴더(%Temp%) 영역에 생성된 winopen.exewinopen.exe 파일을 로딩하여 전체 화면을 덮는 Lock Screen 방식으로 Windows 화면을 볼 수 없도록 차단합니다.
이 과정에서 사용자가 winopen.exewinopen.exe 파일을 강제 종료할 수 없도록 작업 관리자(Taskmgr.exe) 실행을 차단하여 강제로 Windows 재부팅을 진행하도록 유도합니다.
참고로 생성된 메시지에서는 파일 삭제 대신 숨겨진 파티션으로 데이터를 이동시켜 암호화를 한 것처럼 사용자를 속이고 있습니다.
또한 예약 작업 영역에 "\Update\WVGtpmEUlXdWVGtpmEUlXdhuSpCpqZGMuTRLhuSpCpqZGMuTRL" 작업 스케줄러 값을 등록하여 Windows 부팅 후 "C:\Users\%UserName%\AppData\Roaming\winstrsp.exe" 파일을 자동 실행하여 Lock Screen 동작을 통해 삭제된 파일을 파악할 수 없도록 방해합니다.
위와 같은 일련의 Lock Screen 방식을 통한 Windows 사용 방해와 데이터 파일 삭제를 통해 피해자는 랜섬웨어(Ransomware)에 감염된 것처럼 판단하여 요구하는 금액을 지불하게 만들지만, 돈을 지불하였다고 삭제된 파일을 복구해주지는 않습니다.
그러므로 위협적인 랜섬웨어 메시지 창을 생성하여 금전을 요구할 경우에는 우선적으로 파일이 암호화되었는지 아니면 단순히 삭제되었는지부터 파악하여 추가적인 조치를 취하시기 바라며, 일반적으로 파일 삭제 방식이 복구 불가능한 보안 삭제가 아니므로 파일 복구 프로그램을 통해 삭제된 파일을 복원할 수 있습니다.