HydraCrypt 변형으로 알려진 CryptoMix 랜섬웨어가 국내 발견 되었다. 해외에서는 작년 말 관공서 및 학교에 사회공학적 기법을 이용해 유포되어 유명해 졌으며 2017년 초 국내에 상륙한 것을 확인하였다. 한편 CryptoMix 와 유사한 CryptoShield 랜섬웨어도 국내 발견 되었다. 해당 랜섬웨어 대한 정보는 조만간 본 블로그를 통하여 게시할 예정이다.

CryptoMix2016년 말 미국 내에서 스팸 메일을 이용해 유포가 활발하였고 타겟은 관공서 직원 및 학교 선생님 대상으로 발송된 것으로 보도되었다.

(*출처: https://www.proofpoint.com/us/threat-insight/post/cryptfile2-ransomware-returns-in-high-volume-url-campaigns)

최근 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서는 취약점에 의해 CryptoMix가 생성된 것으로 로그가 확인 되었다. 현재 유포 방식을 작년 말과는 다르게 변경한 것으로 보인다. 또한 20171월 기준 CryptoMixRig-V EK(Exploit Kit)에 의해 유포된 것으로 해외 블로그(malware-traffic-analysis.net: 주로 악성코드 감염과 관련된 네트워크 트래픽 정보를 포스팅 함)에 언급 되어있다.

 

[그림-1] RIG-V EKCryptoMix 동작도

정상 웹 사이트에 취약점이 있는 웹 페이지로 유도하는 스크립트를 삽입하는 공격으로부터 시작 되는 RIG-V EK 는 주로 SWF (CVE-2015-8651) 취약점을 사용한다. 취약점이 존재하는 경우 사용자는 정상적인 웹 사이트를 방문 시 접속만으로도 CryptoMix 랜섬웨어가 실행 되어 컴퓨터 내의 파일들이 암호화 된다.


많이 알려진 LockyCerber 랜섬웨어와는 다르게 CrptoMix 감염될 시 바탕화면이 변경되지는 않지만 아래 그림과 같은 텍스트 파일을 실행시켜 사용자에게 감염된 것을 인지 시켜준다.

[그림-2] 랜섬웨어 경고 텍스트

 

CrptoMix에 암호화된 파일명은 다음과 같이 변경된다.

-       원본파일명.email[****@post.com]_id[pcid].lesli (메일주소 일부 * 처리)

 

[그림-3] 암호화된 파일의 변경된 파일명


 

CryptoMix 로 암호화된 파일의 확장자는 변형 별로 다음과 같이 변경되었다.

암호화된 파일의

변경된 확장자

.code

.scl

.lesli

.rmd

.rmdk

[-1] 감염된 파일의 변경된 확장자 변경 정보

CryptoMix 암호화 대상 확장자는 약 1200여개 이며 [-2]에는 일부만 기술하였다

[-2] 암호화 대상 확장자 일부

CryptoMix1200여개의 확장자를 암호화 대상으로 하고 있으며 위 [-2] 에서 확인할 수 있듯이 아래한글 확장자인 .hwp 도 포함되어 있다.

 

하기 [-3]에 있는 문자열이 포함된 경로(ex: c:\windws)는 암호화를 진행하지 않으며 자기자신이 있는 경로의 파일도 암호화 하지 않는다.

windows

packages

cookies

programdata

microsoft

boot

application data

winnt

tmp

inetcache

nvidia

system volume information

$recycle.bin

temp

webcache

cache

program files (x86)

program files

temporary internet files

appdata

[-3] 암호화 제외 경로 문자열


 

파일 암호화 후 CryptoMix 는 아래 [-4]와 같이PC의 볼륨 쉐도우 삭제 및 부팅 구성 데이터 편집기(bcdedit.exe)를 이용해 복구 무력화를 진행한다.

명령어

기능

vssadmin.exe  Delete Shadows /All /Quiet

볼륨 쉐도우 삭제

wmic  shadowcopy delete

볼륨 쉐도우 삭제

net  stop vss

볼륨 쉐도우 서비스 중지

bcdedit /set {default} bootstatuspolicy ignoreallfailures

Windows 오류 복구 알림창 표시 끔

bcdedit  /set {default} recoveryenabled No

복구 모드 사용 안함

wbadmin delete catalog –quiet

백업 카탈로그 삭제

[-4] 사용자의 복구를 막는 명령어와 기능

일반적인 랜섬웨어는 파일을 암호화하여 목적 달성 후 흔적을 없애기 위해 자가 삭제하지만 CryptoMix의 경우 특정경로에 자기 복제 후 원본파일과 함께 모두 레지스트리 Run키에 등록하여 재부팅 후에도 다시 동작하여 감염을 하게 한다.

 

[그림-4] 레지스트리에 등록된 랜섬웨어

레지스트리

DATA

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Spy Security SoftWare

본 랜섬웨어

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Spy Security SoftWare

복사된 랜섬웨어

[-5] CryptoMix 레지스트리 등록 정보(*변형마다 다름)

CryptoMix는 네트워크 접속하여 사용자의 정보를 전송하고 종료된다.

접속 주소(일부 주소 * 처리)

37.59.39.53/os_information/010517/statistic_valid_os.php?info=**

176.123.26.7/offser_valid/pobin_validator/098019_203405/ms_statistic_os_key.php?info=**

[-6] CryptoMix 네트워크 접속 정보(*변형마다 다름)


 

랜섬웨어의 특성상 완벽한 복구 방법이나 예방법은 없지만 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.

또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3 에서는 CryptoMix 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

- Trojan/Win32.CryptoMix (2017.01.26.00)

- Win-Trojan/CryptoMix.Gen (2017.01.26.00)

신고
Creative Commons License
Creative Commons License
Posted by JYP