서비스형 랜섬웨어 FilesLocker Ransomware 주의
1. 개요
최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다.
이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다.
2. 분석 정보
2-1. 파일 정보
| 구분 |
내용 |
| 파일명 |
[임의의 파일명].exe |
| 파일크기 |
201,216 byte |
| 악성동작 |
파일 암호화 |
2-2. 유포 경로
정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다.
2-3. 실행 과정
해당 랜섬웨어가 실행되면 사용자 PC의 특정 경로를 대상으로 파일 암호화를 진행하고, 파일 암호화가 완료되면 파일명에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어 및 영어로 표기된 FilesLocker 랜섬노트 팝업창과 감염 사실을 통보하기 위한 이미지를 사용자에게 띄운다.
[그림 1] ‘FilesLcoker’ 랜섬노트 팝업창
[그림2] 감염 사실 통보
3. 악성 동작
3-1. 파일 암호화
해당 랜섬웨어는 바탕화면, ‘C:\Users\’, ‘C:\ProgramData’ 등 특정 폴더를 검색하고 암호화할 파일들을 식별한다.
[그림 3] 파일 암호화 대상 경로
앞서 설명한 경로에서 아래에 해당하는 확장자를 대상으로 암호화를 진행한다.
| 구분 |
내용 |
| 암호화 대상 확장자 |
".gif",".apk",".groups",".hdd",".hpp",".log",".m2ts",".m4p",".mkv",".mpeg",".epub",".yuv", ".ndf",".nvram",".ogg",".ost",".pab",".pdb",".pif",".png",".qed",".qcow",".otp",".s3db",".qcow2", ".rvt",".st7",".stm",".vbox",".vdi",".vhd",".vhdx",".vmdk",".vmsd",".psafe3",".vmx",".vmxf",".3fr", ".3pr",".ab4",".accde",".accdr",".accdt",".ach",".acr",".sd0",".sxw",".adb",".advertisements",".agdl", ".ait",".apj",".asm",".awg",".back",".backup",".sti",".oil",".backupdb",".bay",".bdb",".bgt",".bik", ".bpw",".cdr3",".cdr4",".cdr5",".cdr6",".ycbcra",".cdrw",".ce1",".ce2",".cib",".craw",".crw",".csh", ".csl",".db_journal",".dc2",".pptm",".dcs",".ddoc",".ddrw",".der",".des",".dgc",".djvu",".dng",".drf", ".dxg",".eml",".ppt",".erbsql",".erf",".exf",".ffd",".fh",".fhd",".flp",".gray",".grey",".gry",".hbk",".ibd", ".7z",".ibz",".iiq",".incpas",".jpe",".kc2",".kdbx",".kdc",".kpdx",".ldf",".lua",".mdc",".mdf",".mef", ".config",".mfw",".mmw",".mny",".mrw",".myd",".ndd",".nef",".nk2",".nop",".nrw",".ns2",".ns3", ".ldf",".ns4",".nwb",".nx2",".nxl",".nyf",".odb",".odf",".odg",".odm",".orf",".otg",".oth",".py",".ots", ".ott",".p12",".p7b",".p7c",".pdd",".pem",".plus_muhd",".plc",".pot",".pptx",".py",".qba",".qbr", ".qbw",".qbx",".qby",".raf",".rat",".raw",".rdb",".rwl",".rwz",".conf",".sda",".sdf",".sqlite",".sqlite3", ".sqlitedb",".sr2",".srf",".srw",".st5",".st8",".std",".stx",".sxd",".sxg",".sxi",".sxm",".tex",".wallet", ".wb2",".wpd",".x11",".x3f",".xis",".ARC",".contact",".dbx",".doc",".docx",".jnt",".jpg",".msg",".oab", ".ods",".pdf",".pps",".ppsm",".prf",".pst",".rar",".rtf",".txt",".wab",".xls",".xlsx",".xml",".zip",".1cd", ".3ds",".3g2",".7zip",".accdb",".aoi",".asf",".asp",".aspx",".asx",".avi",".bak",".cer",".cfg",".class", ".cs",".css",".csv",".db",".dds",".dwg",".dxf",".flf",".flv",".html",".idx",".js",".key",".kwm",".laccdb", ".lit",".m3u",".mbx",".md",".mdf",".mid",".mlb",".mov",".mp3",".mp4",".mpg",".obj",".odt",".pages", ".php",".psd",".pwm",".rm",".safe",".sav",".save",".sql",".srt",".swf",".thm",".vob",".wav",".wma", ".wmv",".xlsb",".3dm",".aac",".ai",".arw",".c",".cdr",".cls",".cpi",".cpp",".cs",".db3",".docm",".dot", ".dotm",".dotx",".drw",".dxb",".eps",".fla",".flac",".fxg",".java",".m",".m4v",".max",".mdb",".pcd", ".pct",".pl",".potm",".potx",".ppam",".ppsm",".ppsx",".pptm",".ps",".r3d",".rw2",".sldm",".sldx", ".svg",".tga",".wps",".xla",".xlam",".xlm",".xlr",".xlsm",".xlt",".xltm",".xltx",".xlw",".act",".adp",".al", ".dip",".docb",".frm",".gpg",".lay",".lay6",".m4u",".mml",".myi",".onetoc2",".PAQ",".ps1",".sch", ".slk",".snt",".suo",".tgz",".tif",".tiff",".txt",".uop",".uot",".vcd",".wk1",".wks",".xlc" |
[표 1] 암호화 대상 확장자
파일 암호화가 완료되면, 원본 파일 확장자에 ‘.locked’ 확장자를 덧붙인다. 그리고 중국어, 영어로 작성된 ‘#解密我的文件#.txt’, ‘#DECRYPT MY FILES#.txt’ 랜섬노트를 바탕화면과 C드라이브에 생성한다.
[그림 4] 감염된 사용자 파일
[그림 5] 랜섬노트 ‘#DECRYPT MY FILES#.txt’ ‘#解密我的文件#.txt’
3-2. 시스템 복원 지점 삭제
감염된 사용자가 PC를 감염 이전으로 되돌리는 것을 막기위해 볼륨 쉐도우 복사본을 삭제한다.
[그림 6] 시스템 복원 지점 삭제 실행
4. 결론
이번 보고서에서 알아본 "FilesLocker” 랜섬웨어는 일반적인 형태의 랜섬웨어이지만 서비스형 랜섬웨어 형태로 배포된다고 알려지기 때문에, 전문지식이 없는 공격자도 랜섬웨어를 구매하여 유포할 수 있으므로 사용자들의 주의를 필요로 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.