일반적으로 랜섬웨어(Ransomware)의 대표적인 행위는 파일 암호화(File Encryption)를 통해 열 수 없도록 한 후 돈을 지불할 경우 복호화 도구를 제공하는 방법 또는 MBR (Master Boot Record) 변조를 통한 부팅 자체를 방해하여 복구키를 구입하도록 유도하는 경우가 있습니다.
그 외에 간혹 디스크 암호화(Disk Encryption)를 통해 다른 파티션 또는 드라이브에 접근할 수 없도록 비밀번호를 걸어두는 경우도 존재합니다.
그런데 2019년 1월 초 VirusTotal 서비스에 등록된 Mongolock 랜섬웨어(Ransomware)는 기존의 방식과는 다르게 파일 삭제 및 디스크 포맷을 통해 돈을 요구하는 Wiper 계열 랜섬웨어 사례가 있어서 살펴보도록 하겠습니다.
해당 Mongolock 랜섬웨어 파일(SHA-1 : a8c7223f486cc9d22553cdf4a42c91f18ddf3dac - Kaspersky : Trojan-Ransom.Win32.Farmobuk.a)은 실행될 경우 다음과 같은 C&C 서버와의 암호화 통신을 시도하는 부분이 존재합니다.
"h**ps://s.rapid7.xyz (104.27.178.191:443)" 서버와의 통신을 통해 사용자 PC 정보가 전송될 것으로 보이며, 실제로 삭제되는 파일 데이터 자체는 전송되지 않는 것으로 확인되고 있습니다.
테스트를 위해 D 드라이브에 사진 파일을 저장한 후 Mongolock 랜섬웨어를 실행할 경우 다음과 같은 행위를 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c format D: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c format E: /fs:ntfs /q /y
"C:\Windows\system32\cmd.exe" /c del D:\\* /F /Q
"C:\Windows\system32\cmd.exe" /c del E:\\* /F /Q
Windows 운영 체제에서 제공하는 "C:\Windows\System32\format.com" 파일(Disk Format Utility)을 통해 OS가 설치되어 있지 않은 다른 파티션 또는 드라이브에 대한 포맷 및 파일 삭제 동작이 이루어집니다.
- /FS:<파일 시스템>
- /Q : 빠른 포맷을 수행합니다. 이 스위치가 /P보다 우선합니다.
포맷(Format) 명령어를 살펴보면 각 파일 시스템에 맞게 빠른 포맷 방식으로 진행됩니다.
- /F : 읽기 전용 파일을 강제 삭제합니다.
- /Q : 자동 모드에서는 글로벌 와일드카드에서 삭제할 것인지 묻지 않습니다.
이를 통해 D 드라이브는 포맷 및 내부에 저장되어 있는 사진 파일 일체가 삭제되고 Warning.txt 메시지 파일만 남아있는 것을 확인할 수 있습니다.
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Documents\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Desktop\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Favorites\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Music\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\%UserName%\Videos\* /F /Q
"C:\Windows\system32\cmd.exe" /c del C:\Users\Public\Desktop\* /F /Q
C 드라이브의 경우에는 동영상, 문서, 바탕 화면, 음악, 즐겨찾기, 최근 문서 폴더에 존재하는 파일에 대한 삭제(DEL) 명령어 수행이 있는 것을 확인할 수 있습니다.
위와 같이 Mongolock 랜섬웨어는 Windows 운영 체제에서 제공하는 파일 삭제 및 포맷 기능을 통해 데이터 훼손을 시도하며, Warning.txt 메시지 파일에서는 0.1 BTC 암호 화폐 지불을 요구하는 것을 확인할 수 있습니다.
그렇다면 이런 방식의 파일 훼손 행위가 발생할 경우 복구를 할 수 없는지에 대해 간단하게 확인을 해보았습니다.
우선 파일 삭제 방식을 살펴보면 덮어쓰기 방식으로 파일 복구를 어렵게 하지 않고 단순하게 파일 삭제가 진행된 것을 알 수 있습니다.
실제 recuva 무료 파일 복구 프로그램을 사용하여 삭제된 파일 및 포맷된 디스크에서 파일 복구를 시도해보면 상당 부분 손쉽게 복구가 가능한 것을 확인할 수 있었습니다.
그러므로 Mongolock 랜섬웨어의 경우와 같이 파일 암호화가 아닌 파일 삭제 및 디스크 포맷을 시도하는 경우에는 파일 복구 프로그램을 사용하여 삭제된 파일을 복구해 보시기 바라며, 특히 이런 경우에는 피해를 당한 후 디스크에서 추가적인 쓰기(Write) 작업을 하지 않는 것이 파일 복구 확률이 높다는 점을 명심하시기 바랍니다.
그래도 MBR영역 날리는 랜섬웨어에 비하면 애교인것같습니다
좋은 내용이네요.
한가지 아쉬운건 글자크기가 작아서... ㅠ..ㅠ
폰트 크기좀 키워주세요.. ㅋㅋ
고려해 보겠습니다. 모바일에서 또 너무 길게 보일까봐...
비밀댓글입니다
Scarab 랜섬웨어 (v3.0)입니다.