본문 바로가기

벌새::Analysis

파일 암호화 후 바로 가기(.lnk) 파일을 생성하는 Spora 랜섬웨어 주의 (2017.2.2)

반응형

최근 해외에서 발견된 Spora 랜섬웨어(Ransomware)는 파일 암호화 후 특정 위치에 존재하는 폴더명으로 생성된 바로 가기(.lnk) 파일을 통해 재감염 및 다른 PC로 전파할 수 있는 기능이 포함되어 있기에 살펴보도록 하겠습니다.

 

Spora 랜섬웨어의 대표적인 유포 방식은 메일 첨부 파일 또는 취약점(Exploit)을 이용하여 감염이 발생할 수 있습니다.

 

 

대표적인 취약점(Exploit) 감염 방식에서는 기존과 다르게 사용자가 변조된 웹 사이트 방문 시 가짜(Fake) Chrome 메시지 창을 생성하여 사용자로 하여금 Update 버튼 클릭을 통해 악성 파일을 다운로드하여 직접 실행하도록 유도하고 있습니다.

 

다운로드된 악성 파일(SHA-1 : e93a37a63e32bea5b05df63a48c9f8178e6d91db - 알약(ALYac) : Trojan.Ransom.Spora)을 사용자가 실행할 경우 다음과 같이 파일 암호화가 진행됩니다.

 

 

Spora 랜섬웨어에 의해 암호화된 파일은 원본 파일명과 확장명 그대로 암호화가 진행되며, 암호화가 완료된 후에는 다음과 같은 랜섬웨어 메시지 창을 자동 생성합니다.

 

 

생성된 랜섬웨어 메시지 파일(KO***-*****-*****-*****-*****.HTML)에서는 https://spora.biz 사이트로 연결되는 버튼이 존재하며 클릭할 경우 다음과 같은 웹 사이트로 연결됩니다.

 

 

  • Full Restore : 모든 암호화된 데이터 복원
  • Immunity : Spora 악성코드 감염 유발하는 문제 해결(추가적인 프로그램 설치 필요)
  • Removal : Spora 악성코드 제거
  • File Restore : 최대 25MB 파일 용량에 해당하는 파일에 대한 복원
  • File Restore : 2개의 파일에 대한 무료 복원

 

특이한 점은 Spora 랜섬웨어에 의해 암호화된 파일 복구 외에 다양한 구매 옵션 제공을 통해 지불을 유도한다는 점입니다.

 

 

그런데 Spora 랜섬웨어의 암호화 행위가 완료된 후 바탕 화면, 각 파티션(드라이브) 루트, USB 영역을 확인해보면 기존에 존재하는 폴더 이름을 가진 바로 가기(.lnk) 파일이 생성되어 있으며 기존의 폴더가 사라진 것을 볼 수 있습니다.

 

 

폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 한 후 확인을 해보면 기존에 존재하던 폴더는 모두 숨김(H) 속성값으로 변경된 것을 알 수 있으며, 사용자가 생성된 바로 가기(.lnk) 파일을 폴더로 판단하여 클릭하도록 유도하고 있음을 알 수 있습니다.

 

 

예를 들어 생성된 "C:\Program Files.lnk" 바로 가기 파일을 실행할 경우 해당 영역에 숨김(H) + 읽기(R) 파일 속성값으로 생성된 Spora 랜섬웨어 파일(\\1466262b-2c1a-76e8-b983-543591de0b1f.exe)을 [C:\Windows\system32\cmd.exe /c explorer.exe "Program Files" & type "1466262b-2c1a-76e8-b983-543591de0b1f.exe" > "%tmp%\1466262b-2c1a-76e8-b983-543591de0b1f.exe" & start "Program Files" "%tmp%\1466262b-2c1a-76e8-b983-543591de0b1f.exe"] 명령어로 실행합니다.

 

이를 통해 임시 폴더에 Spora 랜섬웨어 파일을 복사하여 생성된 "%Temp%\1466262b-2c1a-76e8-b983-543591de0b1f.exe" 파일을 실행하여 파일 암호화 행위를 재실행할 수 있습니다.

 

위와 같은 방식은 USB 드라이브가 PC와 연결되어 있을 경우 웜(Worm)처럼 USB 드라이브에 존재하는 폴더명을 이용하여 바로 가기(.lnk) 파일을 생성하며, 해당 USB를 다른 PC에 연결하여 폴더 모양의 바로 가기(.lnk) 파일을 실행할 경우 전파가 가능합니다.

 

Spora 랜섬웨어(Ransomware)는 최신 보안 업데이트가 이루어지지 않은 Windows, Adobe Flash Player, 웹 브라우저 등을 사용할 경우 감염될 수 있으므로 항상 최신 보안 업데이트를 꾸준하게 하는 습관을 유지하시기 바랍니다.

 

또한 새로운 Spora 랜섬웨어가 유포될 때마다 백신의 진단을 우회할 수 있으므로 AppCheck 안티랜섬웨어 제품을 함께 사용하여 다양한 랜섬웨어로부터 데이터를 보호하시기 바랍니다.

728x90
반응형