|
다크웹 포럼에서 무료 배포 중인 Chaos Ransomware Builder v4.0 분석팀 2022.11.24 |
|
|
Chaos Ransomware는 .NET으로 제작되었으며, 2021년 6월에 처음 발견되었다. 최근에도 버전 업그레이드하고 있으며, ‘Onyx’ 그룹이 2022년 4월에 Chaos Ransomware를 통해 몸값 지불 요구 및 탈취한 데이터 유출했다.
다크 웹 포럼에서 Builder를 쉽게 구할 수 있으며, Builder를 통해 기능을 선택하여 Ransomware 제작이 가능하다. 처음 발견된 후초기 버전부터 버전 업그레이드되어있음을 확인하였다. 초기 버전은 와이퍼와 유사하였고, 버전 2에서는 ‘Chaos Builder’로 명명되며 파일 복구를 방해하는 기능이 추가되었다. 버전 3부터는 1MB 미만인 파일을 암호화 기능이 추가되었고 버전 4에서는 2MB까지 암호화하였다. 
Chaos Ransomware 실행 시 [그림 2]에서 암호화할 타깃 확장자와 파일 크기를 확인합니다. 파일 크기가 2MB보다 작을 시 AES/RSA 암호화 알고리즘을 진행한다. 파일 크기가 약 200MB보다 큰 경우 <EncyptedKey> 태그에 200MB~300MB 사이의 임의의 바이트를 Base64형식으로 파일을 덮어씌운다. 그 외의 경우는 <EncyptedKey> 태그에 파일 크기에서 25%의 임의의 바이트를 Base64 형식으로 파일을 덮어씌운다. 
피해자 PC가 감염되어 암호화 작업이 종료되면, 암호화된 파일이 존재하는 디렉토리에 랜섬노트를 생성하고, 실행한다. Builder에서 지정된 랜섬노트의 파일명은 ‘read_it.txt’이다. 
|