일반적으로 랜섬웨어(Ransomware)의 대표적인 행위는 파일 암호화(File Encryption)를 통해 열 수 없도록 한 후 돈을 지불할 경우 복호화 도구를 제공하는 방법 또는 MBR (Master Boot Record) 변조를 통한 부팅 자체를 방해하여 복구키를 구입하도록 유도하는 경우가 있습니다.
그 외에 간혹 디스크 암호화(Disk Encryption)를 통해 다른 파티션 또는 드라이브에 접근할 수 없도록 비밀번호를 걸어두는 경우도 존재합니다.
그런데 2019년 1월 초 VirusTotal 서비스에 등록된 Mongolock 랜섬웨어(Ransomware)는 기존의 방식과는 다르게 파일 삭제 및 디스크 포맷을 통해 돈을 요구하는 Wiper 계열 랜섬웨어 사례가 있어서 살펴보도록 하겠습니다.
해당 Mongolock 랜섬웨어 파일(SHA-1 : a8c7223f486cc9d22553cdf4a42c91f18ddf3dac - Kaspersky : Trojan-Ransom.Win32.Farmobuk.a)은 실행될 경우 다음과 같은 C&C 서버와의 암호화 통신을 시도하는 부분이 존재합니다.
"h**ps://s.rapid7.xyz (104.27.178.191:443)" 서버와의 통신을 통해 사용자 PC 정보가 전송될 것으로 보이며, 실제로 삭제되는 파일 데이터 자체는 전송되지 않는 것으로 확인되고 있습니다.
테스트를 위해 D 드라이브에 사진 파일을 저장한 후 Mongolock 랜섬웨어를 실행할 경우 다음과 같은 행위를 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c format D: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c format E: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c del D:\\* /F /Q
"C:\Windows\system32\cmd.exe" /c del E:\\* /F /Q
Windows 운영 체제에서 제공하는 "C:\Windows\System32\format.com" 파일(Disk Format Utility)을 통해 OS가 설치되어 있지 않은 다른 파티션 또는 드라이브에 대한 포맷 및 파일 삭제 동작이 이루어집니다.
- /FS:<파일 시스템>
- /Q : 빠른 포맷을 수행합니다. 이 스위치가 /P보다 우선합니다.
포맷(Format) 명령어를 살펴보면 각 파일 시스템에 맞게 빠른 포맷 방식으로 진행됩니다.
- /F : 읽기 전용 파일을 강제 삭제합니다.
- /Q : 자동 모드에서는 글로벌 와일드카드에서 삭제할 것인지 묻지 않습니다.
이를 통해 D 드라이브는 포맷 및 내부에 저장되어 있는 사진 파일 일체가 삭제되고 Warning.txt 메시지 파일만 남아있는 것을 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Documents\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Desktop\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Favorites\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Music\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Videos\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\Public\Desktop\* /F /Q
C 드라이브의 경우에는 동영상, 문서, 바탕 화면, 음악, 즐겨찾기, 최근 문서 폴더에 존재하는 파일에 대한 삭제(DEL) 명령어 수행이 있는 것을 확인할 수 있습니다.
위와 같이 Mongolock 랜섬웨어는 Windows 운영 체제에서 제공하는 파일 삭제 및 포맷 기능을 통해 데이터 훼손을 시도하며, Warning.txt 메시지 파일에서는 0.1 BTC 암호 화폐 지불을 요구하는 것을 확인할 수 있습니다.
그렇다면 이런 방식의 파일 훼손 행위가 발생할 경우 복구를 할 수 없는지에 대해 간단하게 확인을 해보았습니다.
우선 파일 삭제 방식을 살펴보면 덮어쓰기 방식으로 파일 복구를 어렵게 하지 않고 단순하게 파일 삭제가 진행된 것을 알 수 있습니다.
실제 recuva 무료 파일 복구 프로그램을 사용하여 삭제된 파일 및 포맷된 디스크에서 파일 복구를 시도해보면 상당 부분 손쉽게 복구가 가능한 것을 확인할 수 있었습니다.
그러므로 Mongolock 랜섬웨어의 경우와 같이 파일 암호화가 아닌 파일 삭제 및 디스크 포맷을 시도하는 경우에는 파일 복구 프로그램을 사용하여 삭제된 파일을 복구해 보시기 바라며, 특히 이런 경우에는 피해를 당한 후 디스크에서 추가적인 쓰기(Write) 작업을 하지 않는 것이 파일 복구 확률이 높다는 점을 명심하시기 바랍니다.