이 문서는 국내 정보보안 관련 기관인 KISA(한국인터넷 진흥원)에서 제공하는 보고서 문서를 참고하였습니다. (KISA 홈페이지 > 지식플랫폼 > 동향분석 > 랜섬웨어 동향)
이 문서는 2021년 3분기까지 공개된 KISA의 분기별 랜섬웨어 동향 보고서를 제외하고 이후 공개된 랜섬웨어 암호기능 분석 보고서를 대상으로 확인하였습니다.
문서에 표기된 특정 랜섬웨어에 대한 자세한 정보는 KISA 홈페이지를 통해 분석 보고서를 다운로드하여 열람할 수 있습니다.
1. file_encrypt_locker
file_encrypt_locker 랜섬웨어는 안드로이드 스마트폰에서 동작하는 랜섬웨어입니다. 스마트폰 내부 파일 시스템에 존재하는 문서나 이미지, 영상 파일을 대상으로 암호화하며 코드 형식으로 확인되었기 때문에 이를 활용한 출처가 불분명한 변종 악성 어플리케이션이 존재할 수 있습니다.
[암호화 대상 확장자]
jpeg, jpg, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4
[암호화]
고정 문자열 "jndlasf074hr"의 해시 값을 사용하여 AES 암호화 키를 생성하고 대상 파일을 암호화를 수행합니다. 암호화가 완료된 파일은 .enc를 추가한 상태로 존재하게되며 원본 파일은 삭제됩니다.
[복호화]
file_encrypt_locker 랜섬웨어는 고정 문자열의 해시 값을 이용하여 AES 암호화 키를 생성하기 때문에 고정된 문자열의 해시 값과 대칭키 알고리즘의 특성을 이용하여 복호화 키 생성이 가능합니다.
2. SimpleLocker
SimpleLocker 랜섬웨어는 2015년에서 2016년 사이에 유포된 최초의 안드로이드 모바일 랜섬웨어입니다. 동유럽, 미주 지역에 주로 활동하고 2016년 후반까지 약 15만 회 다운로드된 것으로 파악되고 있습니다.
SimpleLocker 랜섬웨어 설치 시 "Video Player"라는 이름의 아이콘이 생성되며 어플을 실행하면 "FBI Warning" 메시지와 함께 미국 연방법에 따라 단말기가 잠겼다는 화면이 나타납니다.
이 랜섬웨어는 문서, 이미지, 영상 그리고 압축 파일을 대상으로 암호화를 수행합니다.
[암호화 대상 확장자]
jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4, zip, 7z, rar
[암호화]
[복호화]
SimpleLocker 랜섬웨어는 고정 문자열의 SHA256 해시 값을 사용하여 AES 암호화 키를 생성하기 때문에 고정된 문자열의 해시값과 대칭키 알고리즘의 특성을 이용하여 복호화 키 생성이 가능합니다.
3. Magniber
Magniber 랜섬웨어는 한국어를 사용하는 윈도우즈 운영체제를 대상으로 2017년 10월 15일부터 Magnitude 익스플로잇 킷을 통해 유포되었습니다.
이 랜섬웨어는 오피스 파일, 그래픽 파일, 문서파일 등을 대상으로 암호화를 수행합니다.
[암호화 대상 확장자]
doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb 등
[암호화]
분석 샘플의 경우 Magniber 랜섬웨어 파일 내부에 하드코딩된 키를 이용하여 AES-128 알고리즘으로 암호화를 수행합니다. 암호화가 완료된 파일은 .kgpvwnr의 확장자로 변경되고 랜섬 노트 화면이 나타납니다.
*Magniber 랜섬웨어는 사용하는 암호 알고리즘이 특정 값을 통해 변경 가능하기 때문에 변종의 경우 다른 암호 알고리즘을 사용할 수 있습니다.
[복호화]
Magniber 랜섬웨어는 동작 과정, 암호 키 생성 방식, 파일 암호화 과정 등을 암호학적 요소를 통해 랜섬웨어 파일 내부 하드코딩된 암호 키를 이용하여 복구가 가능합니다.
Comments