이 문서는 국내 정보보안 관련 기관인 KISA(한국인터넷 진흥원)에서 제공하는 보고서 문서를 참고하였습니다. (KISA 홈페이지 > 지식플랫폼 > 동향분석 > 랜섬웨어 동향)
이 문서는 2021년 3분기까지 공개된 KISA의 분기별 랜섬웨어 동향 보고서를 제외하고 이후 공개된 랜섬웨어 암호기능 분석 보고서를 대상으로 확인하였습니다.
문서에 표기된 특정 랜섬웨어에 대한 자세한 정보는 KISA 홈페이지를 통해 분석 보고서를 다운로드하여 열람할 수 있습니다.
1. GandCrab
2018년 1월에 처음 등장한 GandCrab 랜섬웨어는 약 1년 6개월간 전 세계에 많은 피해를 준 랜섬웨어로 기록되었습니다.
특히 GandCrab은 서비스형 랜섬웨어(RaaS, Ransomware as a Service)로 불리면서 전문적인 지식이 없는 공격자가 이 랜섬웨어를 구매하고 공격으로 수익을 낼 수 있는 구조입니다. 전문적인 지식을 요구하지 않는 선에서 랜섬웨어 공격이 가능하기 때문에 GandCrab 랜섬웨어로 인해 발생한 피해가 폭발적으로 늘어났습니다.
하지만 6월 초, 개발자는 RaaS 서비스를 중단한다고 선언했고 현재 미국 FBI, 유로폴(Europol) 등 유럽 국가의 법 집행 기관과 협력하여 GrandCrab 5.2 버전까지의 복호화 도구를 공개했습니다.
GandCrab 랜섬웨어가 실행될 경우, 시스템 언어 확인, PC 정보 수집, C&C 서버와 통신 등 일련의 동작을 수행한 이후 파일 암호화가 진행됩니다. PC에 연결된 네트워크 드라이브의 파일을 포함하여 대부분의 파일들을 암호화 합니다. 그리고 암호화한 폴더마다 랜섬노트를 생성합니다.
이후 윈도우 백업 기능을 사용하지 못하도록 볼륨 섀도 복사본을 삭제하고 GandCrab 실행파일을 스스로 제거 합니다.
GandCrab 랜섬웨어로 암호화된 파일을 복호화하기 위해서 암호 키와 nonce가 필요합니다. 이 값들은 암호와된 파일등에 공격자의 공개 키로 암호화되어 저장되어 있습니다. 다르게 설명하면 공격자의 개인 키만 있다면 복구가 가능합니다.
앞서 설명한 것과 같이 미국과 유럽 국가의 법 집행 기관 등의 협력으로 복호화 도구가 공개되었으며 미국 FBI는 GandCrab 4 버전부터 5.2 버전까지의 공격자의 개인 키를 공개했습니다.
2. Phobos
Phobos 랜섬웨어는 2019년 1월에 발견되었습니다. 원격 데스크탑 프로토콜 (RDP)의 취약점을 통해 사전(dictionary)공격이나 무작위 대입방식의 통해 취약한 비밀번호를 사용하는 PC에 접근하여 Phobos와 함께 악성 파일을 실행시키는 방식으로 유포되었습니다.
이 Phobos 랜섬웨어는 2016년에 발견된 Dharma와 Crysis 랜섬웨어의 변종이며 현재 다양한 Phobos 랜섬웨어가 발견되고 있습니다.
Phobos 랜섬웨어가 실행되면 시스템 언어 확인 후 취약점을 통해 관리자 권한으로 권한을 상승 시킵니다. 그리고 시스템이 실행될 때마다 랜섬웨어가 자동으로 실행되도록 레지스트리를 등록한 후 랜섬웨어 파일 내부 암호화된 일부 코드를 복호화하여 윈도우 백업 기능 무력화하기 위한 볼륨 섀도 복사본 삭제 스크립트, 네트워크 방화벽 해제를 위한 스크립트를 실행합니다.
Phobos 랜섬웨어는 특정 프로세스를 강제 종료 시키면서 파일 암호화의 성공률을 높입니다. 강제 프로세스 목록은 Phobos 랜섬웨어 내부에 암호화되어 있으며 이를 복호화하여 각 프로세스 이름의 프로세스를 강제 종료합니다.
Phobos 랜섬웨어는 PC에서 접근 가능한 모든 네트워크 드라이브를 포함하여 대부분의 파일을 암호화합니다. 특히 Phobos는 파일의 첫 부분(0x00000 ~ 0x40000)을 제거하여 파일 크기나 구성에 대한 정보를 유출할 수 없도록 합니다. 또한 "Windows" 폴더를 포함하여 특정 확장자나 파일을 암호화하지 않고 건너뜁니다.
Phobos 랜섬위어의 암호화 알고리즘은 AES-256-CBC이며 암호 키는 랜덤하게 사용됩니다. 그리고 암호화에 사용된 암호 키는 공격자의 RSA-1024 공개 키를 통해 암호화되기 때문에 복호화를 위해 공격자의 개인 키가 필요합니다. 또한 공격자의 개인 키를 확보하더라도 암호화할 때 원본 파일의 일부 데이터를 삭제하기 때문에 100% 복구는 불가능합니다.
3.LooCipher
LooCipher 랜섬웨어는 2019년 6월 말에 발견되었습니다. 스팸메일에 첨부되어 악성 워드 파일인 'Info_BSV_2019.docm'을 통해 그 피해가 발생회었습니다.
스팸메일에 첨부된 악성 워드 파일을 실행하면 워드 윈도우 화면과 함께 상단의 매크로 기능을 활성화를 요구합니다. 사용자가 매크로 활성화를 허용하면 매크로가 실행되면서 자동으로 'LooCiper.exe' 파일을 다운로드하고 실행합니다.
LooCiper 랜섬웨어는 'Program FIles", "Program Files(x86)", "Windows" 폴더를 제외한 파일을 대상으로 암호화를 수행합니다. 암호화는 동일한 위치에 동일한 이름과 '.lcphr' 확장자를 추가한 신규 파일을 생성하고 암호화된 데이터를 추가합니다. 그리고 원본 파일의 데이터를 제거하고 0KB가 된 원본 파일을 그대로 둡니다.
암호화가 완료되면 암호 키를 인코딩하여 감염자 ID와 함께 C&C 서버로 전송합니다.
LooCiper 랜섬웨어는 감염 당시의 시스템 시간을 seed로 사용하기 때문에 해당 시간을 알 수 있다면 복구가 가능합니다.
암호화된 파일의 수정 시간을 기준으로 전후 시간을 조사하여 암호 키를 복구하고 전체 파일을 복구할 수 있습니다.