랜섬웨어란?

랜섬웨어

- 몸값을 뜻하는 Ransome + 제품을 뜻하는 Ware

- 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화

- 암호화된 파일을 인질로 잡아 금전을 요구하는 악성코드

 

랜섬웨어의 주요 증상

- "랜섬웨어에 감염이 되었습니다" 돈을 요구하는 협박 메세지 페이지 출력

- 파일, 문서 등 암호화 되어 있음

- 암호화된 파일을 열 수 없음

- 중요 시스템 프로그램이 열리지 않음

- 별도의 다른 악성코드를 심기도 함

- 실행되면 숙주 파일이 사라지는 경향이 있어 한번 암호화 끝나면 다시 암호화 되지 않음

- MBR을 악성 MBR로 교체하여 부팅 안되게끔 함

 

주요 전파 경로

- 침투: 이메일이나 악성 사이트에 악성코드 삽입

- 감염: 사용자의 이메일 첨부파일이나 악성사이트에 의한 감염

- 파일 탐지: 암호화할 파일 경로 확인

- 암호화: 대상 파일 암호화 후 경고

 

---

랜섬웨어의 종류

Crypt~ 계열

- 감염되면 파일이 암호화 되며 확장자가 .crypt로 변경

- 카스퍼스키에서 복호화 툴을 다운 받아 복호화 가능

 

Cerber~ 계열

- 인터넷이 강제 종료되는 현상으로부터 .txt, .mp3, .mp4, 등의 파일이 .cerber 확장자로 암호화

- 강제 종료 시 아무것도 없는 검은색 화면과 PC 상태의 기능이 마비

 

~Locker 계열

- SynoLocker: 시놀로지 NAS에 감염되는 랜섬웨어

- Locky: .hwp 암호화, Office의 매크로를 사용하여 유포되며, 암호화 키를 찾지 못한 상태

 

MBR 훼손 계열

- Petya: 부팅 영역까지 건드리면서 시스템 자체를 먹통으로 만듬

- MISCHA: 일반 파일들과 하드디스크 MBR 중 하나를 선택해서 암호화

- GoldenEye: 미샤와 페트야의 극상위 버전으로 파일, MBR까지 쌍으로 암호화

 

Erebus

- 인터넷 나야나 랜섬웨어 감염 사태에 서버를 감염시킨 리눅스형 변종

 

WannaCry

- SMBv1 원격코드 실행 취약점을 악용하여 인터넷 연결만 되어도 감염

 

공개키 기반 암호화 방식

- RSA 사용

 

---

GoldenEye Malware Analysis

 

- OEP를 통해 하나의 코드를 다른 곳에 심음

- 드로핑된 파일을 가지고 암호화 진행

 

 

- 단순 XOR 암호화하는 패턴

- writefile 하는 곳에 MBR을 변조하는 곳이 있을 것임