도널드 트럼프 랜섬웨어?

malwares.com 코드분석팀 분석 자료


<부제 : 진짜 나타날까? >


1. 개요


미국 대선 경쟁이 치열한 가운데 랜섬웨어에 대한 많은 정보가 교류되는 BleepingComputer에서 도널드 트럼프 랜섬웨어 정보가 게시되었다. 아직 개발자 버전으로 추정되는 해당 파일은 파일 암/복호화 기능은 있지만 비활성화된 상태로 향후 정식버전 랜섬웨어가 발견되지 않을까 생각된다. 


2. Anti-Virus 진단 정보

  • 파일 크기 : 92,160 bytes
  • SHA-256 : 4CEA9DBC941756F7298521104001BC20CB73CFDDA06A60A9E90760188661F5E4
  • 연관 태그 정보 : #exe_32bit, #peexe, #assembly
  • 유입 파일명 : CRPT-TRX.exe, Donald Trump Ransomware.exe
  • malwares.com 정보 : https://goo.gl/VQTGnZ
  • 동작 환경 : .NET 4.0 이상
  • 최초 빌드 시점 : 2016.08.19
  • 최초 탐지 시점 : 2016.08.19

< Figure1. Anti-Virus 진단 정보 (malwares.com) >


3. 동작

(1) 파일 암호화

현재 확인된 개발자 버전은 실행시 실행 파일과 같은 경로에 특정 이름의 폴더가 존재할 경우 해당 폴더 내 파일만 암호화 하도록 개발되어 있다. 
  • 폴더명 : encrypt
< Figure2. "도널드 트럼프 랜섬웨어" 실행화면 >

실제 파일 암호화는 이루어지지 않고 오직 원본 파일명을 인코딩하고 확장자를 특정 확장자로 변경한다. 

< Figure3. 인코딩된 원본 파일명 >

  • 인코딩 : Base64

  • 변경된 확장자 : .ENCRYPTED


하지만 파일 내부에는 암/복호화를 위한 함수가 모두 구현되어 있는 것으로 확인되었다. 따라서 기능 구현은 완료되어있고 테스트를 위해 암/복호화 기능을 연결하지 않은 것으로 보인다. 


< Figure4. 파일 내부에 구현된 암호화 코드 >

  • 암/복호화 알고리즘 : AES

(2) 대상 파일 확장자

.zip, .mp3, .7z, .rar, .wma, .avi, .wmv, .csv, .tax, .sidn, .itl, .mdbackup, .menu, .icarus, .litemod, .sav, .lvl, .raw, .flv, .m3u, .xxx, .pak, .jpg, .png, .docx, .doc, .ppt, .odt, .csv, .jpeg, .psd, .rtf, .cfg,  Minecraft,  alts.json, .wolfram, .dat, .dat_mcr, .mca, .Ink, .pub, .pptx, .php, .html, .sk, .txt, .mp4, .vb, .swf, .ico, .xcf, bukkit.jar, .log, .sln, .ini, .dll, .xml, .tex, .assets, .resource, .java, .css, .gif


이 글을 공유하기

댓글(0)