꿈을꾸는 파랑새

2017년5월11일부터 인터넷이 연결된 컴퓨터 환경에서 사용자의 컴퓨터를 감염시키는 랜섬웨어인 WannaCry(워너크라이)랜섬웨어가 발견이 되었습니다. 일단 기본적으로 미국의 비밀기관이면서 2차 세계대전에서 정보 분석을 담당했으면 암호 해독으로 종전을 앞당겼던 국가 기관이면 특히 당시 일본의 암호 체계였던 1급 암호기인 퍼플(PURPLE)을 해독 했으며 미드웨이 해전에서 일본 해군에 밀렸지만, 해당 미드웨이 해전을 승전을 이끌기도 했고 일면 미국의 눈 국가안보국이며 최근에는 스노든의 프리즘 프로젝트가 관련되있죠! 있고 최근에 미국 NSA에서 사용했던 Shadow Brokers 그룹에 의해서 해킹이 되어서 인터넷을 통해서 취약점이 공개되는 되었고 해당 취약점 도구 중에서 ETERNALBLUE 취약점을 악용해서 Windows SMBv1 서버에 임의적으로 조작된 메시지를 전송을 통해서 원격코드 실행문제가 기능을 했고 이에 대해서 마이크로 소프트는 2017년3월 정기 보안 갱신에 해당 보안 취약점은 MS17-010 보안패치를 적용을 했습니다.

물론 이것은 Windows 10이었고 하지만 기술이 종료된 Windows Server 2003. Windows XP, Windows Vista 그리고 Windows 8에 대한 운영체제는 해당 취약점에 영향을 받게 됩니다.

물론 기타 현재 보안 업데이트를 지원을 하는 Windows 7, Windows 10 같은 경우에는 앞서 이야기한 것처럼 2017년3월15일 정기 보안 업데이트르 통해서 보안 업데이트가 이루어졌습니다. 일단 해당 랜섬웨어는 기본적으로 특이한점은 사용자가 파일을 다운로드 및 실행을 하지 않아도 해당 취약점이 있으면 해당 WannaCry(워너크라이)랜섬웨어은 작동을 해서 사용자 컴퓨터를 감염을 시킵니다. 해당 랜섬웨어는 Wana Decryptor 2.0이라는 잠금 화면.암호 해독기가 존재를 합니다.

해당 랜섬웨어에 감염이 되면 WNCRY이라는 확장자가 나타납니다. 일단 기본적으로 해당 랜섬웨어인 WannaCry(워너크라이)는 감염이 되면 설치프로그램이 있는 폴더에 포함한 폴더에 파일을 추출합니다. 그리고 zip 폴더로 암호화됩니다. WanaDecryptor는 압축프로그램의 내용을 같은 폴더에 추출하고 msg 폴더에 몸값을 지급을 작업이 시작됩니다.

그리고 기본적으로 지원되는 언어는 다음과 같습니다.
불가리아어, 한국어, 일본어, 영어, 중국어, 체코어, 독일어, 그리스 어, 인도 네이시어, 베트남 어, 러시아 어, 라트비아어, 폴란드어 등으로 사용자에게 화면을 보여줍니다.
WanaDecryptor은 TOR 클라이언트 다운로드 하고 TaskData 폴더를 추출합니다. 그리고 해당 TOR 클라이언트는 gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion, cwwnhwhlz52maqm7.onion 서버와 통신을 시도합니다. 그리고 컴퓨터 모든 권한을 부여하게 되고 데이터베이스 서버와 메일 서버와 관련된 프로세스를 종료할 수가 있고 데이터 베이스와 이메일 저장공간도 암호화를 할 수가 있습니다.
데이터 베이스 프로세스를 종료하기 위해서 실행되는 명령이 다음과 같이 실행이 됩니다.
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange
그리고 파일을 암호화를 진행합니다. 진행을 하는 파일 확장자들은 다음과 같습니다.
.doc, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .der

그리고 해당 파일을 암호화하면. Wanna Cry 확장자를 추가를 암호화됩니다. 그리고 윈도우에 있는 시스템 복원화 도구인 새도우 볼륨 복사본을 지우니다.
그리고 Windows Server 백업 기록을 지우는 명령을 다음과 같이 실행을 합니다.
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
그리고 해당 권한을 얻으려고 UAC 관리자 권한을 요구합니다. 그리고 마지막으로 해당 목적을 달성하고 나서 Wana Decryptor 2.0 잠금 화면이 표시가 되는 것을 볼 수가 있습니다.

그리고 암호화가 되면 화면이 나오는데 자신이 원하는 언어를 선택하시면 됩니다. 그리고 TOR C2 서버로 다시 연결이 되고 나서 사용자가 지급이 이루어졌는지 확인을 하는 과정을 거치고 있습니다. 그리고 WannaCry(워너크라이)랜섬웨어는 친절하게 랜섬웨어 개발자에게 문의할 수가 있는 Contact US를 통해서 메시지를 보낼 수가 있는 기능도 있습니다. 그리고 바탕화면을 아래와 같이 변경이 되는 것도 확인할 수가 있습니다.

일단 해당 랜섬웨어는 러시아 경찰을 담당하는 러시아 내무부와 영국 국민건강 서비스 산하 40개 병원도 공격을 받았으며 감염이 되는 국가들은 주로 러시아, 유럽 연합, 미국, 인도, 미국, 대만에 집중되고 있으며 한국과 일본, 중국은 공격이 많이 일어나고 있지 않지만 그래도 감염이 보고되고 있습니다.

그리고 예방을 위해서는 윈도우 업데이트는 필수로 업데이트가 돼야 하면 지원이 종료된 Windows XP, Windows Vista 같은 운영체제를 사용하고 있으면 Windows 7 업그레이드를 하거나 장기적으로 생각하면 Windows 10로 업그레이드가 요구됩니다.그리고 만약 새도우 볼륨 복사본이 지워지지 않았으면 ShadowExplorer(새도우 익스플러워)를 통해서 한번 복구를 시도를 해보는 것도 좋은 방법일 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band