일반적으로 랜섬웨어(Ransomware)의 대표적인 행위는 파일 암호화(File Encryption)를 통해 열 수 없도록 한 후 돈을 지불할 경우 복호화 도구를 제공하는 방법 또는 MBR (Master Boot Record) 변조를 통한 부팅 자체를 방해하여 복구키를 구입하도록 유도하는 경우가 있습니다.
그 외에 간혹 디스크 암호화(Disk Encryption)를 통해 다른 파티션 또는 드라이브에 접근할 수 없도록 비밀번호를 걸어두는 경우도 존재합니다.
그런데 2019년 1월 초 VirusTotal 서비스에 등록된 Mongolock 랜섬웨어(Ransomware)는 기존의 방식과는 다르게 파일 삭제 및 디스크 포맷을 통해 돈을 요구하는 Wiper 계열 랜섬웨어 사례가 있어서 살펴보도록 하겠습니다.
해당 Mongolock 랜섬웨어 파일(SHA-1 : a8c7223f486cc9d22553cdf4a42c91f18ddf3dac - Kaspersky : Trojan-Ransom.Win32.Farmobuk.a)은 실행될 경우 다음과 같은 C&C 서버와의 암호화 통신을 시도하는 부분이 존재합니다.
"h**ps://s.rapid7.xyz (104.27.178.191:443)" 서버와의 통신을 통해 사용자 PC 정보가 전송될 것으로 보이며, 실제로 삭제되는 파일 데이터 자체는 전송되지 않는 것으로 확인되고 있습니다.
테스트를 위해 D 드라이브에 사진 파일을 저장한 후 Mongolock 랜섬웨어를 실행할 경우 다음과 같은 행위를 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c format D: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c format E: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c del D:\\* /F /Q
"C:\Windows\system32\cmd.exe" /c del E:\\* /F /Q
Windows 운영 체제에서 제공하는 "C:\Windows\System32\format.com" 파일(Disk Format Utility)을 통해 OS가 설치되어 있지 않은 다른 파티션 또는 드라이브에 대한 포맷 및 파일 삭제 동작이 이루어집니다.
- /FS:<파일 시스템>
- /Q : 빠른 포맷을 수행합니다. 이 스위치가 /P보다 우선합니다.
포맷(Format) 명령어를 살펴보면 각 파일 시스템에 맞게 빠른 포맷 방식으로 진행됩니다.
- /F : 읽기 전용 파일을 강제 삭제합니다.
- /Q : 자동 모드에서는 글로벌 와일드카드에서 삭제할 것인지 묻지 않습니다.
이를 통해 D 드라이브는 포맷 및 내부에 저장되어 있는 사진 파일 일체가 삭제되고 Warning.txt 메시지 파일만 남아있는 것을 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Documents\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Desktop\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Favorites\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Music\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Videos\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\Public\Desktop\* /F /Q
C 드라이브의 경우에는 동영상, 문서, 바탕 화면, 음악, 즐겨찾기, 최근 문서 폴더에 존재하는 파일에 대한 삭제(DEL) 명령어 수행이 있는 것을 확인할 수 있습니다.
위와 같이 Mongolock 랜섬웨어는 Windows 운영 체제에서 제공하는 파일 삭제 및 포맷 기능을 통해 데이터 훼손을 시도하며, Warning.txt 메시지 파일에서는 0.1 BTC 암호 화폐 지불을 요구하는 것을 확인할 수 있습니다.
그렇다면 이런 방식의 파일 훼손 행위가 발생할 경우 복구를 할 수 없는지에 대해 간단하게 확인을 해보았습니다.
우선 파일 삭제 방식을 살펴보면 덮어쓰기 방식으로 파일 복구를 어렵게 하지 않고 단순하게 파일 삭제가 진행된 것을 알 수 있습니다.
실제 recuva 무료 파일 복구 프로그램을 사용하여 삭제된 파일 및 포맷된 디스크에서 파일 복구를 시도해보면 상당 부분 손쉽게 복구가 가능한 것을 확인할 수 있었습니다.
그러므로 Mongolock 랜섬웨어의 경우와 같이 파일 암호화가 아닌 파일 삭제 및 디스크 포맷을 시도하는 경우에는 파일 복구 프로그램을 사용하여 삭제된 파일을 복구해 보시기 바라며, 특히 이런 경우에는 피해를 당한 후 디스크에서 추가적인 쓰기(Write) 작업을 하지 않는 것이 파일 복구 확률이 높다는 점을 명심하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| 기업 메일 정보 수집 목적의 피싱(Phishing) 메일 주의 (2019.4.30) (0) | 2019.04.30 |
|---|---|
| 디스크 포맷과 파일 삭제를 시도하는 Mongolock 랜섬웨어 정보 (2019.3.16) (5) | 2019.03.16 |
| MS Office DDE(동적 데이터 교환) 필드를 악용한 Morty 스파이웨어 유포 주의 (2019.2.12) (1) | 2019.02.12 |
| MS Word 취약점을 이용한 AZORult 악성코드 유포 주의 (2019.1.18) (1) | 2019.01.18 |
| KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드 주의 (2018.11.3) (8) | 2018.11.03 |
| Windows Update.exe 파일을 찾을 수 없다는 메시지 해결 방법 (2018.10.21) (12) | 2018.10.21 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
