돈 버는 것보다는 귀찮게 하는 것이 목적인 듯...복호화 쉬워
스튜피드 랜섬웨어를 기반으로 해, 같은 복호화 툴 사용하면 해결

[보안뉴스 문가용 기자] 독특한 랜섬웨어가 또 하나 등장했다. 애나벨이라는 공포영화에서 힌트를 얻은 ‘애나벨 랜섬웨어’로, 공격자의 목적은 돈을 버는 것이 아니라 자신의 해킹 및 멀웨어 제작 실력을 자랑하는 것이라고 한다.


애나벨 랜섬웨어를 최초로 보도한 외신 블리핑 컴퓨터(Bleeping Computer)에 의하면 이 공포스러운 랜섬웨어는 아예 시스템을 망가트리는 것 자체를 목적으로 한다. 1) 여러 보안 프로그램을 종료시키고, 2) 윈도우 디펜더마저 비활성화시키며, 3) 방화벽도 끄고, 4) 파일을 암호화 한 후, 5) USB 드라이브까지도 감염시켜 사실상 아무런 프로그램도 돌아가지 못하도록 한다. 게다가 6) 마스터 부트 레코드(MBR)까지 가짜 부트 로더로 덮어쓰기 해버린다. 한 마디로 가지가지 종합세트.

게다가 실행파일은 난독화 처리되어 있어 실제 코드 분석을 하는 것도 어렵게 되어 있다. 그러나 멀웨어를 분석하는 멀웨어헌터팀(MalwareHunterTeam)이 소스코드를 추출해내는 데 성공함에 따라 이 혐오스러운 랜섬웨어의 정체가 파악됐다.

최초 실행 시 애나벨 랜섬웨어가 제일 먼저 하는 건 스스로의 환경설정을 바꾸는 것이라고 블리핑 컴퓨터는 설명한다. 피해자가 윈도우에 로그인할 때 자동으로 랜섬웨어가 시작될 수 있도록 하고, 그 다음으로는 프로세스 해커(Process Hacker), 프로세스 익스플로러(Process Explorer), Msconfig, 작업관리자(Task Manager), 크롬 등의 프로그램들을 강제로 종료시킨다고 한다.

그런 후에는 레지스트리의 이미지 파일 실행(Image File Execution) 부분을 조정해 피해자가 다른 프로그램을 실행하지도 못하게 만든다. 메모장, 워드패드, 인터넷 익스플로러, 크롬, 오페라, bcdedit 등 거의 대부분이라고 볼 수 있다. 또한 자동 실행 파일인 autoru.inf를 통해 확산을 시도하기도 하지만, 이는 윈도우 최신 버전에서는 통하지 않는다.

여기까지 진행됐다면, 애나벨은 시스템 내 모든 파일들을 정적 키(static key)를 가지고 암호화시킨다. 모든 파일 뒤에 .ANNABELLE이란 확장자를 붙임으로써 이름을 바꾼다. 이 단계가 끝나면 컴퓨터를 리부트 시키고, 사용자가 로그인 하면 무서운 인형의 사진이 담긴 화면을 띄운다. 이 화면에 따르면 애나벨 랜섬웨어의 개발자는 iCoreX0812라고 나온다. 범인에게 연락을 하고 싶다면 디스코드(Discord)라는 메신저를 사용하라고 안내가 나오기도 한다.

이런 경우 놀라서건 아니면 껐다 켜면 대부분의 컴퓨터 문제가 해결된다고 믿어서건, 전원 버튼으로 손을 올리는 사람들이 있는데 이 애나벨 제작자는 이것도 계산했다. MBR을 가짜로 덮어쓰기를 해서, 사용자가 다시 컴퓨터를 시작했을 때 엉뚱한 화면이 뜨도록 한 것이다. 범인이 요구하는 금액은 0.1 비트코인이다.

멀웨어헌터팀은 블리핑 컴퓨터를 통해 “이 랜섬웨어는 스튜피드 랜섬웨어(Stupid Ransomware)를 기반으로 하고 있다”고 발표했다. 무슨 말이냐면, 복호화가 그리 어렵지 않다는 것이다. 또한 정적 키를 사용했기 때문에 원래의 스튜피드 랜섬웨어의 복호화 툴을 덩달아 업데이트 할 수도 있게 되었다고 한다.

그래서 멀웨어헌터팀은 “실제 돈을 벌려고 한 것이 아니라, 말썽만 일으키고 싶었던 누군가의 소행”으로 보고 있다. 블리핑 컴퓨터는 애나벨 랜섬웨어에 걸렸다면 1) 안전모드에서 Rkill을 사용해 IFEO 레지스트리를 청소하고, 2) StupidDecryptor로 파일을 복호화한 후 3) 기타 보안 검사 및 스캐닝을 실시해 나머지 부분을 깨끗이 하라고 권장한다. 복구가 매우 어려운 랜섬웨어는 아니다. 다만 그림이 ‘역대급’으로 혐오스럽고, 복구 과정이 귀찮을 뿐이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>