원본파일 복원이 가능한 TeslaCrypt 랜섬웨어 > 자료실

본문 바로가기
사이트 내 전체검색


자료실

자료실

원본파일 복원이 가능한 TeslaCrypt 랜섬웨어

페이지 정보

작성자 Yscom 작성일15-11-17 14:47 조회6,305회 댓글0건

첨부파일

본문

Nabucur & Teslacrypt

사용 시 주의사항

  • - 전용백신은 실시간 검사 기능이나 정기 업데이트를 제공하지 않습니다.
  • - V3 또는 타사 백신의 실시간 검사가 실행 중인 경우, 이를 먼저 ‘일시중지’한 후 전용백신을 실행하시기 바랍니다.
  • - 전용백신 실행 후 시스템에 예상치 못한 문제가 발생하거나 이로 인해 데이터 또는 금전적 손실이 생길 수 있으니 이를 고려하여 사용을 결정하십시오.
    이러한 문제 가능성에도 전용백신을 실행하여 발생하는 문제에 대해 책임지지 않습니다.

원본파일 복원이 가능한 TeslaCrypt 랜섬웨어

국내에는 게임관련 파일들을 타겟(Target)으로 제작된 랜섬웨어로 알려진 'TeslaCrypt' 혹은 'Tescrypt' 라는 이름의 악성코드는 2015년 4월 27일, CISCO 블로그("Threat Spotlight: TeslaCrypt – Decrypt It Yourself")를 통해 처음으로 복원방법이 소개되었다. 국내에서는 아직 피해사례가 많지 않지만, 감염기법에 대한 상세정보 및 복원 가능여부 확인을 통해 추후 피해가 발생 시 활용하고자 한다. 'TeslaCrypt' 랜섬웨어는 지난 4월 국내에 이슈가된 랜섬웨어 처럼 정상 프로세스(explorer.exe, svchost.exe)에 코드 인젝션(Injection)을 통한 방식이 아닌, %APPDATA% 경로에 생성한 악성코드 실행을 통해 감염이 이루어진다. 파일을 암호화하는 과정은 다음과 같다. (감염 후, 사용자 시스템에는 '.ecc' 이름의 파일만 존재)

'normal.jpg' -> 'normal.jpg'(암호화) -> 'normal.jpg.ecc' (복사본) -> 'normal.jpg'(삭제)
(kernel32.MoveFileW) (kernel32.DeleteFileW)

 

TeslaCrypt 랜섬웨어의 분석내용 다음과 같다.

 

1. 파일 및 레지스트리 생성

 

(1) 파일생성

%APPDATA% 경로(CSIDL_APPDATA)에 생성되는 파일들은 다음과 같다.
(%APPDATA%: C:\Documents and Settings\<username>\Application Data)

- 랜덤이름.exe (예제:asoddjv.exe)
- help.html
- log.html (감염된 파일들 목록정보)
- key.dat (파일 복호화에 사용되는 KEY 파일)

바탕화면 경로(CSIDL_DESKTOPDIR)에 아래의 파일들이 생성된다.

- CryptoLocker.lnk (%APPDATA%asoddjv.exe파일에 대한 바로가기)
- HELP_TO_DECRYPT_YOUR_FILES.bmp (경고 윈도우화면('v4')의 내용에 대한 이미지 파일)
- HELP_TO_DECRYPT_YOUR_FILES.txt (경고 윈도우화면('v4')의 내용에 대한 텍스트 파일)

 

(2) 레지스트리 등록

자동실행을 위해 아래의 레지스트리 등록작업이 이루어진다.

- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
> 값 이름: crypto13 (고정)
> 값 데이터: C:\Documents and Settings\<username>\Application Data\asoddjv.exe (가변)

 

2. Mutex 생성

악성코드는 아래의 고정된 뮤텍스정보를 사용한다.

- System1230123

 

3. 볼륨쉐도우(Volume Shadow) 삭제

감염 작업을 수행하기 전, 아래의 명령(Volume Shadow copy Service(VSS) Admin)을 통해 모든 윈도우 복원 이미지를 사용할 수 없도록 한다.

- "vssadmin delete shadows /all" (참고: https://technet.microsoft.com/en-us/library/cc788026.aspx)

 

 

v3 전용 백신 : https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=117

 

 

또한, 아래의 경로에서 제공하는 전용백신을 통해 ".ecc" 이름으로 암호화된 파일들에 대한 복원이 가능하며, 'key.dat' 파일이 %AppData% 경로에 존재해야 한다.

- http://www.ahnlab.com/kr/site/download/product/downVacc.do?fileName=v3_TeslaDecryptor.exe

댓글목록

등록된 댓글이 없습니다.

상단으로

TEL. 031-414-8411 FAX. 031-414-8411 경기도 안산시 상록구 화랑로 513 4층
대표:한순진 사업자등록번호: 210-07-55627 개인정보관리책임자 : 용산컴퓨터마트

Copyright © 용산컴퓨터마트. All rights reserved.

모바일 버전으로 보기