본문 바로가기

벌새::Analysis

암호화된 파일이 삭제되지 않는 CryptoShield 2.0 랜섬웨어 주의 (2017.3.24)

반응형

2017년 2월경에 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 과정에서 취약점(Exploit)을 통해 CryptoShield 2.0 랜섬웨어(Ransomware)에 감염되어 문서, 사진, 음악 등의 개인 파일이 암호화될 수 있었습니다.

 

그런데 특이한 점은 암호화된 파일이 다음과 같이 비정상적인 확장명으로 변경됨으로 인하여 Windows 운영 체제에서 파일을 인식하지 못하는 문제가 발생합니다.

 

  • 한글 파일명 : (원본 파일명).(Random).[R_SP@INDIA.COM].ID[(Random)].CRYPTOSHIELD.
  • 영문 파일명 : (Random 파일명).(Random).[R_SP@INDIA.COM].ID[(Random)].CRYPTOSHIELD.

 

예를 들어 암호화된 파일의 맨 뒷자리 확장명 끝에 점(.)을 추가하여 Windows 운영 체제에서는 유효하지 않은 방식으로 파일을 변경합니다.

 

 

사용자가 CryptoShield 2.0 랜섬웨어에 의해 암호화된 파일의 삭제를 시도할 경우 311KB 크기를 가진 파일에 대해서 항목을 찾을 수 없다는 메시지로 삭제되지 않는 것을 확인할 수 있습니다.

 

이에 CryptoShield 2.0 랜섬웨어 감염으로 인한 문제와 암호화된 파일 삭제 방법 및 랜섬웨어 대응 방법에 대해 간단하게 살펴보도록 하겠습니다.

 

웹 사이트 방문 과정에서 취약점(Exploit)을 통해 자동 감염된 CryptoShield 2.0 랜섬웨어는 랜섬웨어 파일 생성을 통해 시스템 부팅 시 자동 실행되도록 다음과 같은 시작 프로그램 등록값을 추가할 수 있습니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Oracle Microsoft = "C:\ProgramData\MicroSoftTMP\system32\conhost.exe"
 - Oracle Microsoft Updater = "C:\Users\%UserName%\AppData\Local\Temp\(Random).exe"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - *Oracle Microsoft = "C:\ProgramData\MicroSoftTMP\system32\conhost.exe"
 - *Oracle Microsoft Updater = "C:\Users\%UserName%\AppData\Local\Temp\(Random).exe"

 

이후 파일 암호화를 진행하는 과정에서 "explorer.exe - Application Error" 가짜 메시지 창을 생성할 수 있습니다.

 

 

가짜 메시지를 통해 이후 생성되는 "WMI 명령줄 유틸리티" 사용자 계정 컨트롤 창에서 예(Yes)를 클릭하도록 유도할 수 있으며 실행 시 다음과 같은 명령어 실행을 통해 시스템 복구를 할 수 없도록 변경합니다.

 

  • C:\Windows\System32\cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • C:\Windows\System32\cmd.exe /C vssadmin Delete Shadows /For=(드라이브 문자): /All /Quiet
  • C:\Windows\System32\cmd.exe /C net stop vss

 

 

파일 암호화 완료 후에는 랜섬웨어 메시지 파일(# RESTORING FILES #.HTML / # RESTORING FILES #.TXT)을 생성하여 생성된 아이디(ID) 정보를 특정 이메일 주소로 발송하면 복구를 위한 결제 안내를 하는 방식으로 진행됩니다.

 

 

암호화된 파일을 확인해보면 확장명 부분이 .CRYPTOSHIELD. 형태로 변경되어 있는 것을 확인할 수 있으며, CryptoShield 초기 버전(1.x 버전)의 경우에는 "(원본 파일명).(Random).CRYPTOSHIELD 또는 (Random 파일명).(Random).CRYPTOSHIELD" 형태로 암호화되어 삭제에 문제가 없었습니다.

 

 

CryptoShield 2.0 랜섬웨어에 의해 암호화된 파일(.CRYPTOSHIELD.) 속성값에서는 파일 크기가 0 바이트로 인식하여 Windows 운영 체제에서 제공하는 기본 삭제 기능을 통해서는 파일을 인식하지 못하므로 삭제가 되지 않고 있습니다.

 

 

위와 같이 CryptoShield 2.0 랜섬웨어 감염으로 인해 암호화된 파일(.CRYPTOSHIELD.) 삭제로 고생하시는 분들은 GMER 루트킷 탐지 도구를 이용하여 삭제되지 않는 파일을 선택하여 삭제(Delete)를 정상적으로 진행하실 수 있습니다.

 

 

CryptoShield 2.0 랜섬웨어에 의해 파일 암호화가 진행될 경우 AppCheck 안티랜섬웨어 제품은 차단 및 일부 암호화된 파일을 자동 복원을 지원하고 있으며, 특히 삭제되지 않는 암호화된 파일까지 삭제가 가능하므로 백신 프로그램과 함께 사용하시면 랜섬웨어로부터 더욱 안전하게 데이터를 보호할 수 있습니다.

728x90
반응형