Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보워너크라이(WannaCry)의 유사 랜섬웨어, 워너다이 (WannaDie)
작성일 2017-11-21 조회 1086

 

 

 

 

 

 

2017년 5월, 전세계를 강타한 워너크라이의 GUI를 모방한 워너다이(WannaDie) 랜섬웨어가 등장했습니다. 다행스럽게도 워너크라이의 SMB를 통한 자가 복제 및 전파 기능을 존재하지 않아 큰 피해가 발생되지는 않았습니다. 하지만 워크크라이의 변종들이 꾸준히 등장하는 만큼 주의가 필요합니다.

 

다양한 랜섬웨어를 보면서 왜 이런 이름으로 지었을까 하는 랜섬웨어들이 다수 존재합니다. 거의 대부분은 메일 주소나 확장자 등 악성코드 개발자에 의해 지어진 단어들입니다. 'WannaDie'란 이름은 다운로드 패킷에서부터 확장자, 랜섬노트 등 다양하게 확인할 수 있습니다.

 

 

약간의 오타가 있지만 모른척 넘어가도록 합니다.

 

[그림] WannaDie Ransomware Download Pcap

 

 

추가적으로 자주 보이는 단어는 WannaDie 의 줄임말인 'wndi' 입니다. 파일 암호화 시 파일명 뒤에 확장자로 추가되며 pdb 파일명에도 사용됩니다.

 

[그림] wndi(wannadie) pdb 경로

 

 

[Payload] WannaDie Ransomware

행위: Ransomware 
크기: 824,320 byte
확장자 :  .wndi
랜섬노트: @WannaDecrypt0r.exe
SHA256: b0c40513ae3c7f9cb72ab2a5084f0ba479ec50b4a502e210903b14169d9426c6

 

 

 

랜섬웨어에 감염되면 총 5개의 파일이 생성이 됩니다.

 - @WannaDecrypt0r.exe : 랜섬노트 exe 버전

 - @WannaDecrypt0r.png : 랜섬노트 png 버전

 - a.wndi / d.wndi / t.wndi : 랜섬노트 남은 시간 저장 파일

 

[그림] 랜섬웨어 감염 이후 생성 파일

 

 

랜섬웨어난 아래의 확장자를 검색하여 암호화를 진행합니다.

 

.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk,. htm, .html, .key, .keychain, .md, .pps, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml

 

[그림] WannaDie 암호화 확장자

 

 

'@WannaDecrypt0r.exe' 는 랜섬웨어 파일 삭제 경고 문구, 복호화 금액 지불 주소, 남은 시간 등을 확인할 수 있는 랜섬노트입니다. 

 

[그림] 'exe' 랜섬노트

 

 

'@WannaDecrypt0r.pnd' 는 파일 복호화를 하기 위해선 @WannaDecrypt0r.exe 를 확인하라는 뜻과 함께 최초로 WannaDie 단어를 확인할 수 있습니다.

 

[그림] 'png' 랜섬노트

 

 

' a.wndi / d.wndi / t.wndi ' 파일은 랜섬노트의에서 확인할 수 있는 시간과 관련된 파일로서 컴퓨터를 재시작 하더라도 남은 시간을 체크하여 보여주는 역할을 합니다.

 

 

[그림] 남은 시간을 확인하는 시간 파일

 

 

3개의 시간 변수에 남은 시간을 저장하고 그 시간을 각 파일에 저장합니다.

 

[그림] Timer_0_Trick 함수

 

 

위 그럼에서 70초마다 실행되는 method_2 함수는 파일을 삭제하는 함수입니다. 70초마다 'Users' 폴더에 있는 파일들을 하나씩 삭제하면서, 랜섬노트에서 확인할 수 있는 1분마다 파일 삭제가 허언이 아니라는 것을 말해줍니다.

 

[그림] 파일을 삭제하는 method_2 함수

 

 

 

 

[Wins IPS]

 - [3853] Win32/Ransomware.WannaDie.824320

 

[Wins UTM]

 - [838861312] Win32/Ransomware.WannaDie.824320

 

[Wins APTX]

 - [3057] Win32/Ransomware.WannaDie.824320

 

 

 

Source

[Title 그림] https://www.malwarefox.com/35-ransomware-prevention-tips/ 

 
첨부파일 첨부파일이 없습니다.
태그 Ransomware  WannaCry  WannaDie  워너다이