Nabucur & Teslacrypt

사용 시 주의사항

• - 전용백신은 실시간 검사 기능이나 정기 업데이트를 제공하지 않습니다.
• - V3 또는 타사 백신의 실시간 검사가 실행 중인 경우, 이를 먼저 ‘일시중지’한 후 전용백신을 실행하시기 바랍니다.
• - 전용백신 실행 후 시스템에 예상치 못한 문제가 발생하거나 이로 인해 데이터 또는 금전적 손실이 생길 수 있으니 이를 고려하여 사용을 결정하십시오.
  이러한 문제 가능성에도 전용백신을 실행하여 발생하는 문제에 대해 책임지지 않습니다.

원본파일 복원이 가능한 TeslaCrypt 랜섬웨어

국내에는 게임관련 파일들을 타겟(Target)으로 제작된 랜섬웨어로 알려진 'TeslaCrypt' 혹은 'Tescrypt' 라는 이름의 악성코드는 2015년 4월 27일, CISCO 블로그("Threat Spotlight: TeslaCrypt – Decrypt It Yourself")를 통해 처음으로 복원방법이 소개되었다. 국내에서는 아직 피해사례가 많지 않지만, 감염기법에 대한 상세정보 및 복원 가능여부 확인을 통해 추후 피해가 발생 시 활용하고자 한다. 'TeslaCrypt' 랜섬웨어는 지난 4월 국내에 이슈가된 랜섬웨어 처럼 정상 프로세스(explorer.exe, svchost.exe)에 코드 인젝션(Injection)을 통한 방식이 아닌, %APPDATA% 경로에 생성한 악성코드 실행을 통해 감염이 이루어진다. 파일을 암호화하는 과정은 다음과 같다. (감염 후, 사용자 시스템에는 '.ecc' 이름의 파일만 존재)

'normal.jpg' -> 'normal.jpg'(암호화) -> 'normal.jpg.ecc' (복사본) -> 'normal.jpg'(삭제)
(kernel32.MoveFileW) (kernel32.DeleteFileW) 

 

TeslaCrypt 랜섬웨어의 분석내용 다음과 같다.

 

1. 파일 및 레지스트리 생성

 

(1) 파일생성

%APPDATA% 경로(CSIDL_APPDATA)에 생성되는 파일들은 다음과 같다.
(%APPDATA%: C:\Documents and Settings\<username>\Application Data)

- 랜덤이름.exe (예제:asoddjv.exe)
- help.html
- log.html (감염된 파일들 목록정보)
- key.dat (파일 복호화에 사용되는 KEY 파일)

바탕화면 경로(CSIDL_DESKTOPDIR)에 아래의 파일들이 생성된다.

- CryptoLocker.lnk (%APPDATA%asoddjv.exe 파일에 대한 바로가기)
- HELP_TO_DECRYPT_YOUR_FILES.bmp (경고 윈도우화면('v4')의 내용에 대한 이미지 파일)
- HELP_TO_DECRYPT_YOUR_FILES.txt (경고 윈도우화면('v4')의 내용에 대한 텍스트 파일)

 

(2) 레지스트리 등록

자동실행을 위해 아래의 레지스트리 등록작업이 이루어진다.

- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
> 값 이름: crypto13 (고정)
> 값 데이터: C:\Documents and Settings\<username>\Application Data\asoddjv.exe (가변)

 

2. Mutex 생성

악성코드는 아래의 고정된 뮤텍스정보를 사용한다.

- System1230123

 

3. 볼륨쉐도우(Volume Shadow) 삭제

감염 작업을 수행하기 전, 아래의 명령(Volume Shadow copy Service(VSS) Admin)을 통해 모든 윈도우 복원 이미지를 사용할 수 없도록 한다.

- "vssadmin delete shadows /all" (참고: https://technet.microsoft.com/en-us/library/cc788026.aspx)

 

복원프로그램

 

또한, 아래의 경로에서 제공하는 전용백신을 통해 ".ecc" 이름으로 암호화된 파일들에 대한 복원이 가능하며, 'key.dat' 파일이 %AppData% 경로에 존재해야 한다.

- http://www.ahnlab.com/kr/site/download/product/downVacc.do?fileName=v3_TeslaDecryptor.exe

 

 

v3 전용 백신 : https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=117

 

 

저는 1TB 하드 전부 감염되서 복구 못하고 OS 를 백업한것을 복원하고

감염은 전부 포기하고 전에 걸린 샘플도 올리고 테스트 하실분 해 보세요.

 

자료실에 랜섬웨어 복호화 툴 올린분 자료 받아서 복원 일부 성공 ... (그림 실행파일만 복구 안됩니다)

그리고 TorrentUnlocker 프로그램 일부 복구 테스트 이고, 나머지 복원을 원하면 돈을 지불하라고 하네요.

 

랜섬은 일단 걸리면 중요한 자료 복구 원하면 돈을 지불하면 고쳐 준다고 하네요. (그들의 목적 달성)

저야 중요한것이 없고 다시 1TB 다운받은 비디오 일부 중요도 있습니다만

과감히 복원 해 버렸죠. (다음에 또 걸리면 방지 하고자 연구 중입니다만 복원은 쉽지 않습니다)

 

그럼, TorrentUnlocker 자료 받으려 여기 주소에서 받고

http://manian.com/index.php?mid=data&page=2&document_srl=6936451

 

제가 샘플 감염된 자료도 받아서 테스트 해 보세요

감염 자료 다운 받기 : 받기전 글자 모두 마우스로 전부 긁어서 붙여 넣여야 받아집니다.

 

http://nj02all01.baidupcs.com/file/2fbbea6d14d2e835200f9738c61945d4?bkt=p2-nj02

-943&fid=4098658255-250528-262376764474128&time=1447912203&sign=FDTAXGERLBH-

DCb740ccc5511e5e8fedcff06b081203-75dB0bmLZ0GYs1iaDSxg

%2FrbUKA8%3D&to=nj2hb&fm=Nan,B,U,ny&sta_dx=124&sta_cs=0&sta_ft=encrypted&sta_ct=

0&fm2=Nanjing02,B,U,ny&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=0000030df1af8d7b

4a91df3fde8359e83c6e&sl=71761998&expires=8h&rt=sh&r=772639811&mlogid=74814581182

77695891&vuk=-&vbdid=3513074076&fin=00%20%EA%B7%B8%EB%A6%BC%20%EB%B0%9B%EA

%B3%A0%20%EC%86%8D%EC%84%B1%20%EC%9E%90%EC%84%B8%ED%9E%88%20%EB%A7%88%EA

%B7%B8%EB%84%B7%20%EC%A3%BC%EC%86%8C%20%EB%8B%A4%EC%9A

%B4.zip.encrypted&fn=00%20%EA%B7%B8%EB%A6%BC%20%EB%B0%9B%EA%B3%A0%20%EC%86%8D

%EC%84%B1%20%EC%9E%90%EC%84%B8%ED%9E%88%20%EB%A7%88%EA%B7%B8%EB%84%B7%20%EC

%A3%BC%EC%86%8C%20%EB%8B%A4%EC%9A

%B4.zip.encrypted&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-

logid=7481458118277695891&dp-callid=0.1.1