하얀 자물쇠에 갇힌 파일들, WhiteLock 랜섬웨어의 경고

하얀 자물쇠에 갇힌 파일들, WhiteLock 랜섬웨어의 경고

파일이 하나둘 잠기고, 원격 접속 도구마저 멈춘다면 이미 랜섬웨어 감염이 진행된 상태일 수 있다. 최근 확인된 WhiteLock 랜섬웨어는 Windows 환경에서 주요 파일을 암호화한 뒤 랜섬노트를 생성해 금전을 요구한다. 암호화 과정에서 외부 서버와 통신하고, AnyDesk와 TeamViewer 등 원격 접속 도구 관련 서비스를 종료해 피해자의 원격 대응을 방해하는 점이 특징이다. 이번 글에서는 WhiteLock 랜섬웨어의 주요 동작 방식과 랜섬웨어 대응 시 확인해야 할 보안 포인트를 살펴보자.

WhiteLock은 피해 시스템의 파일을 암호화한 뒤 복호화 대가를 요구하는 전형적인 랜섬웨어다. 암호화된 파일에는 .fbin 확장자가 추가되며, 감염 시스템에는 c0ntact.txt 랜섬노트가 생성된다.

WhiteLock 랜섬노트에서는 피해자에게 제한 시간 내 금전을 지불하도록 요구하며, Tor 기반 협상 페이지 접속 방법과 피해자 식별 정보 입력 절차를 안내한다. 공격자는 복호화 대가를 요구하는 동시에, 기한 내 연락하지 않거나 지불하지 않을 경우 복구가 불가능하다는 식으로 피해자를 압박한다.

WhiteLock은 특정 위협 활동과의 관련성도 언급되고 있다. 일부 보고에서는 정보탈취형 악성코드가 선행 침투에 사용된 뒤 WhiteLock 랜섬웨어가 후속 배포된 사례가 확인되기도 했다. 이처럼 WhiteLock은 단독 실행 파일 형태로만 볼 것이 아니라, 초기 침투 – 정보탈취 – 내부 확산 이후 배포될 수 있는 랜섬웨어 위협으로 이해할 필요가 있다.

따라서 WhiteLock 대응을 위해서는 랜섬웨어 파일 자체에 대한 탐지뿐만 아니라 피싱, 계정 탈취, 원격 접속 악용, 비정상 외부 통신, 내부 확산 정황에 대한 지속적인 모니터링이 필요하다.

1. 분석 내용

1.1 초기 루틴

WhiteLock 랜섬웨어는 실행 시 피해 기기의 MAC 주소를 수집한다. 이후 수집된 MAC 주소는 SHA-256 해시값으로 변환되며, 생성된 해시값은 피해 기기 식별 용도로 외부 서버와의 통신에 사용된다.

이 과정은 랜섬웨어가 감염 기기를 구분하고, 이후 암호화 키 처리 및 피해자별 식별 절차를 수행하기 위한 준비 단계로 볼 수 있다.

외부 서버와의 통신이 실패할 경우 WhiteLock은 반복적으로 통신을 재시도한다. 이로 인해 외부 네트워크와의 통신이 제한된 환경에서는 일부 후속 행위가 정상적으로 진행되지 않을 수 있다. 다만 실제 감염 환경에서는 네트워크 정책, 보안 장비 구성, 공격자의 배포 방식에 따라 동작 양상이 달라질 수 있으므로, 단순히 통신 차단 여부만으로 감염 가능성을 판단해서는 안 된다.

감염 기기 등록 이후 WhiteLock은 피해 기기에 AnyDesk와 TeamViewer가 설치되어 있는지 확인한다. 해당 도구가 존재할 경우 이후 단계에서 관련 서비스의 실행을 종료한다. 이는 보안 담당자나 관리자가 원격 접속 도구를 통해 감염 시스템을 격리하거나 실시간으로 대응하는 것을 방해하기 위한 동작으로 해석된다.

1.2 암호화 준비

암호화 키 생성

초기 루틴 실행 후 WhiteLock은 파일 암호화에 사용할 키를 생성한다. 이 과정에서 32바이트와 16바이트 난수가 생성되며, 각각 AES 암호화에 사용되는 Key와 IV로 활용된다.

이후 WhiteLock은 외부 서버와 통신해 RSA 공개키를 획득하고, 앞서 생성한 AES 키를 RSA-2048 방식으로 암호화한다. 이는 랜섬웨어에서 자주 사용되는 키 보호 구조로, 실제 파일 암호화에는 AES와 같은 대칭키를 사용하고, 해당 대칭키를 공격자가 제어하는 공개키 기반 구조로 보호하는 방식이다.

암호화된 AES 키는 외부 서버로 전송된다. 이 구조에서는 공격자가 보유한 RSA 개인키 없이는 AES 키를 복원하기 어렵기 때문에, 피해자는 공격자와 협상 없이는 파일을 복구하기 어렵도록 설계된다.

암호화 대상 파일 선정

암호화 키 생성 및 키 보호 절차를 마친 뒤 WhiteLock은 암호화 제외 대상 파일과 폴더 목록을 구성한다. 일반적인 랜섬웨어와 마찬가지로 시스템 내 대부분의 사용자 파일을 암호화 대상으로 삼지만, 운영체제 구동에 필수적인 경로, 이미 암호화된 파일, 랜섬노트, 일부 시스템 파일 등은 예외 목록에 포함해 암호화를 건너뛴다.

아래 표는 WhiteLock이 암호화 대상에서 제외하는 항목을 정리한 것이다.

분류

제외 대상

폴더 경로

$Recycle.Bin, \AppData, \ProgramData, \Windows, \System Volume Information, \Google, \Windows\servicing 등

파일명

c0ntact.txt, DumpStack.log.tmp, pagefile.sys, swapfile.sys, hiberfil.sys, desktop.ini, NTUSER.DAT 등

파일 확장자

.fbin

키워드

주요 백신 및 보안 제품 관련 키워드

이 제외 목록의 활용 목적은 운영체제 동작에 필요한 파일을 암호화해 시스템 동작에 영향을 줄 수 있는 주요 파일을 제외하고, 이미 암호화된 파일을 중복 처리하지 않기 위함으로 보인다. 또한 보안 제품 관련 키워드를 제외하는 것은 암호화 과정에서 예외나 충돌을 피하려는 의도로 해석할 수 있다.

원격 접속 도구 서비스 종료

WhiteLock은 앞선 단계에서 피해 기기 내 존재 여부를 확인한 AnyDesk와 TeamViewer 관련 서비스를 탐색한 뒤 종료한다. 원격 접속 도구는 보안 담당자가 감염 시스템에 접근해 상황을 확인하거나 프로세스를 종료하고 네트워크를 차단하는 데 사용될 수 있다.

따라서 WhiteLock의 해당 동작은 랜섬웨어 감염 이후 피해자의 원격 대응을 방해하고, 암호화가 완료될 때까지 시간을 확보하려는 행위로 볼 수 있다.

1.3 암호화 실행

랜섬노트 생성

암호화 준비 단계 이후 WhiteLock은 각 드라이브의 최상단 경로에 c0ntact.txt 랜섬노트를 생성한다.

랜섬노트는 피해 시스템의 파일 암호화와 중요 정보 탈취 내용을 포함한다. 또한 제한 시간 내 금전을 지불하지 않을 경우 고객 통보, 정보 판매, 다크웹 및 인터넷 공개를 진행하겠다는 협박 문구도 있다.

최종적으로 피해자에게 Tor Browser를 통한 협상 페이지 접속 방법과 피해자 식별 정보 입력 절차를 안내한다. 이는 공격자가 피해자를 개별적으로 식별하고 협상 과정을 관리하기 위한 방식으로 보인다.

[그림 1] WhiteLock 랜섬웨어의 랜섬노트 내용

파일 암호화

랜섬노트 생성이 완료되면 WhiteLock은 본격적으로 파일 암호화를 수행한다. 암호화 과정에서는 앞서 생성한 AES Key와 IV가 사용되며, 암호화 제외 목록에 포함된 파일과 경로는 처리 대상에서 제외된다.

WhiteLock은 대상 파일의 데이터를 읽어 AES-CBC 방식으로 암호화한다. 파일 암호화가 완료되면 원본 파일명 뒤에 .fbin 확장자를 추가한다. 이 확장자는 피해자가 파일이 암호화되었음을 인지하게 하는 동시에, 랜섬웨어가 이미 처리한 파일을 다시 암호화하지 않도록 구분하는 역할도 한다.

WhiteLock의 암호화 흐름은 대칭키 기반 파일 암호화와 공개키 기반 키 보호 방식을 결합한 구조다. 이는 많은 랜섬웨어에서 확인되는 방식으로, 감염 이후에는 복호화가 쉽지 않기 때문에 사전 백업, 행위 기반 탐지, 초기 차단 체계가 중요하다.

배경화면 변경

암호화가 완료되면 WhiteLock은 피해 기기의 배경화면을 변경한다. 변경된 배경화면에는 시스템이 침해됐고, 중요 정보가 암호화됐다는 내용이 표시되며, 피해자에게 c0ntact.txt 파일을 확인하도록 안내한다.

배경화면 변경은 피해자가 감염 사실을 즉시 인지하도록 만들고, 랜섬노트 확인 및 협상 페이지 접속을 유도하기 위한 압박 수단으로 사용된다.

[그림 2] WhiteLock 랜섬웨어에 의해 변경된 배경화면

2. 안랩 대응 현황

안랩은 WhiteLock 랜섬웨어 및 관련 행위에 대해 파일 진단, 행위 기반 탐지, EDR 탐지를 제공한다.

AhnLab V3는 WhiteLock 랜섬웨어와 관련된 악성 파일 및 랜섬웨어 의심 행위를 탐지한다. 또한 MDP 기반 탐지를 통해 파일 암호화, 자동 실행, 랜섬웨어 유사 행위 등 의심스러운 동작을 탐지할 수 있다.

AhnLab EDR에서는 랜섬웨어 의심 행위와 영향 단계의 주요 이벤트를 탐지해 보안 담당자가 감염 흐름을 확인하고 대응할 수 있도록 지원한다. 특히 파일 대량 변경, 랜섬노트 생성, 원격 접속 도구 관련 서비스 종료, 비정상 외부 통신 등은 랜섬웨어 감염 과정에서 주의 깊게 확인해야 할 행위다.

랜섬웨어 대응을 위해서는 백신 제품의 최신 엔진 유지뿐만 아니라, EDR을 통한 행위 기반 탐지, 원격 접속 도구 사용 현황 모니터링, 중요 데이터 백업, 외부 통신 제어 정책 점검이 함께 이뤄져야 한다.

결론

WhiteLock 랜섬웨어는 파일 암호화, 외부 서버 통신, 원격 접속 도구 서비스 종료, 랜섬노트 생성, 배경화면 변경 기능을 결합한 랜섬웨어 위협이라 할 수 있다. 감염 기기 식별 정보를 기반으로 암호화 절차를 수행하고, AES-CBC와 RSA-2048 기반 키 보호 구조를 사용해 피해자의 파일 복구를 어렵게 만든다. 또한 암호화된 파일에는 .fbin 확장자를 추가하고, c0ntact.txt 랜섬노트와 배경화면 변경을 통해 피해자에게 금전 지불을 압박한다.

특히 AnyDesk 및 TeamViewer 관련 서비스를 종료하는 동작은 감염 이후 원격 대응을 방해하려는 의도로 볼 수 있다. 이에 따라 WhiteLock과 같은 랜섬웨어에 대응하기 위해서는 알려진 악성코드 진단뿐만 아니라 파일 대량 변경, 비정상 암호화 행위, 랜섬노트 생성, 원격 관리 서비스 종료 등 주요 행위에 대한 탐지가 필요하다. 또한 중요 데이터 백업, 외부 통신 모니터링, 원격 접속 도구 사용 현황 점검을 함께 수행해 랜섬웨어 감염 초기 단계에서 대응할 수 있는 체계를 마련해야 한다.

 

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.