이전에도 소개한 적이 있는 일반적인 랜섬웨어(Ransomware) 방식과는 다소 다른 특이한 랜섬웨어를 살펴보겠습니다.
기존에 살펴본 Mongolock 랜섬웨어는 실제 파일 암호화 행위는 없는 대신 파일 삭제와 포맷을 통해 금전을 요구하는데, 이번에 살펴볼 FRS 랜섬웨어는 파일 확장명만 변경한 후 파일 및 폴더에 액세스할 수 없도록 권한을 변경하고 있습니다.
2018년 3월경 공개된 FRS 랜섬웨어(SHA-1 : 3dc746ae351adbaa192400a58c492c83dd7f4a10 - Trend Micro : Ransom_FRS.A)는 실행 시 임시 폴더(%Temp%) 영역에 숨김(H) 파일 속성값을 가지는 <Random>.bat 배치 파일을 생성하여 참조합니다.
배치 파일(.bat) 코드를 확인해보면 C 드라이브에 위치한 바탕 화면, 저장된 게임, 링크, 즐겨찾기, 검색, 동영상, 사진, 공용 폴더 내의 모든 파일을 .FRS 파일 확장명으로 이름 변경(Rename)하도록 설정되어 있으며, 그 외 다른 드라이브의 경우에는 모든 폴더 내의 파일을 대상으로 하고 있습니다.
특히 "C:\Windows\System32\cacls.exe" 파일(제어 ACLs 프로그램)을 이용하여 "CACLS <파일명> /G 사용자:F" 명령어 방식으로 폴더 및 파일에 대한 액세스 권한을 변경하도록 설정되어 있는 것을 확인할 수 있습니다.
C:\FRSRAMSOMWARE :: 숨김(H) + 시스템(S) 폴더 속성
C:\FRSRAMSOMWARE\Chinese_national_flag.png
C:\FRSRAMSOMWARE\FRS.exe
C:\FRSRAMSOMWARE\FRS_Decryptor.exe
C:\FRSRAMSOMWARE\READ_ME_HELP_ME.png
C:\FRSRAMSOMWARE\READ_ME_HELP_ME.txt
실행된 FRS 랜섬웨어는 숨김(H) + 시스템(S) 폴더 속성값을 가지는 C:\FRSRAMSOMWARE 폴더를 생성하여 내부에 관련 파일을 생성한 후 자가 복제 방식으로 임시 폴더(%Temp%) 내의 임의의 폴더에 구성 파일을 생성합니다.
정상적으로 FRS 랜섬웨어가 실행되어 동작이 이루어진 상태에서 대상 폴더나 파일에 접근을 시도할 경우 "현재 이 폴더에 액세스할 수 있는 권한이 없습니다." 메시지 창이 생성되며 계속 버튼을 클릭할 경우 "이 폴더에 액세스할 수 있는 권한이 거부되었습니다." 메시지 창이 뜨면서 사용자가 폴더 내에 접근할 수 없습니다.
해당 폴더의 보안탭을 확인해보면 기존에는 존재하지 않던 Everyone 그룹이 추가되어 있으며, 모든 권한이 거부로 설정되어 폴더 액세스를 거부하고 있는 것을 알 수 있습니다.
또한 .FRS 파일 확장명으로 변경된 대상 파일 역시 보안탭을 통해 확인해보면 Everyone 그룹이 추가되어 모든 권한을 거부하도록 설정된 것을 알 수 있습니다.
위와 같이 Everyone 사용 권한 문제로 액세스가 이루어지지 않을 경우에는 편집 버튼을 클릭한 후 거부로 설정된 권한 일체를 허용으로 변경하시고 적용하시면 됩니다.
폴더 내에 있는 파일을 확인해보면 모든 파일들이 .FRS 파일 확장명으로 변경된 것을 알 수 있지만, 앞서 살펴본 배치 파일 명령어를 통해 확인해보면 단순히 .FRS 파일 확장명이 추가되었을 뿐 데이터 파일 자체가 암호화된 것은 아닙니다.
그러므로 .FRS 파일 확장명 부분만 삭제를 하고 원래 파일 확장명으로 실행을 해보면 정상적으로 파일이 열리는 것을 알 수 있습니다.
FRS 랜섬웨어는 파일 및 폴더 권한을 변경한 후 READ_ME_HELP_ME.txt 메시지 파일을 실행하여 추가로 실행되는 FRS Decryptor 내용을 참조하라고 안내하고 있습니다. 참고로 해당 메시지는 중국어(Chinese)와 영어(English)로 구성되어 있습니다.
또한 중국 오성홍기(五星紅旗) 이미지 파일을 실행하여 FRS Ransomware 문구를 표시하고 있습니다.
또 다른 그림 이미지 파일(READ_ME_HELP_ME.png) 실행을 통해 한문과 영어로 작성된 메시지를 노출합니다.
최종적으로 FRS_Decryptor.exe 파일 실행을 통해 FRS Decryptor 창을 생성하는데, 사용자에게 중국어와 영어를 선택하도록 안내하고 있습니다.
이후 단계에서는 암호화 사실을 안내하며 1개 파일에 대한 무료 복구를 지원한다는 내용으로 파일 경로를 입력한 후 엔터(Enter) 키를 치도록 안내하고 있습니다.
마지막 단계에서는 특정 비트코인(Bitcoin) 암호 화폐 주소를 제시하면서 입금을 요구하며 사용자가 FRS Decryptor 창을 종료할 경우 프로세스 이름을 지속적으로 조회하여 반복적으로 창을 재생성하도록 구성되어 있습니다.
for /f "delims= " %%i in ('tasklist^|find /i "FRS_Decryptor.exe"') do (
if /i "%%i"=="FRS_Decryptor.exe" goto 4)
start %MYFILES%\FRS_Decryptor.exe
실제로 FRS 랜섬웨어가 유포되어 피해를 준 경우 원본 파일이 암호화되는 피해는 발생하지 않겠지만, 폴더 및 파일에 대한 접근을 어렵게 할 경우 일정 시간 동안 기업 환경인 경우 업무 중지 사태가 발생할 수 있을꺼라 보입니다.
그러므로 FRS 랜섬웨어와 같은 파일 및 폴더 액세스를 거부하는 방식으로도 피해를 줄 수 있다는 점을 기억하시고 사전에 악성 파일이 실행되어 피해를 주지 않도록 이메일 첨부 파일 실행이나 인터넷 상에서 다운로드한 의심스러운 파일은 함부로 실행하지 않도록 주의하시기 바랍니다.