영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Hades Locker로 돌아온 WildFire 랜섬웨어 




1. 개요 


이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

update.exe

파일크기

510,026 byte

진단명

Ransom/W32.Hades.510026

악성동작

파일 드롭

 

구분

내용

파일명

Ronms.exe

파일크기

72,351,744 byte

진단명

Ransom/W32.Hades.72351744

악성동작

파일 암호화

네트워크

176.***.***.183 – 공격자 서버

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.





2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.


[그림 2] 파일 드롭과 자동 실행 등록[그림 2] 파일 드롭과 자동 실행 등록





사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 







3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트[그림 3] 암호화된 파일과 랜섬노트






암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[1] 암호화 대상 파일 확장자




3-3. 금전 요구


암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지[그림 4] 결제 안내 메인 페이지




다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내[그림 5] 비트코인 구입 및 결제 방법 안내




FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지[그림 6] FAQ (자주 묻는 질문) 페이지





Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지[그림 7] Helpdesk 페이지






4. 결론


복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 개 요


해외를 중심으로 지속적인 유포가 이루어지는 Ransomware중 Flash Player의 아이콘 및 파일명을 도용한 변종이 발견
되었다. 해당 Ransomware는 파일명 등 속성 값을 위장하는 사회공학 기법으로 사용자들을 현혹하기 때문에 일반 사용자들의 경우 이러한 사회공학 기법을 악용하는 Ransomware에 대한 각별한 주의가 요망되고 있다. Ransomware는 감염 특성상 일단 감염되면 사후 대응이 어려우며, 금전적 손실 등을 유발할 수 있기 때문에 사전에 감염되지 않도록 예방하는 것이 무엇보다 중요하다.

[주의]Ransomware의 해외 유포 증가

http://erteam.nprotect.com/193
  

2. 유포 경로 및 감염 증상

위와 같이 정상 파일명으로 위장한 Ransomware의 경우 SNS나 메신저 등의 링크접속을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 국내외 특정 웹 사이트를 해킹하여 삽입한 보안 취약점을 통해서도 유포가 가능하다.

해당 Ransomware는 하기 그림과 같이 Flash Player의 파일명과 아이콘으로 위장한것이 특징이다.


파일명과 아이콘이 Flash Player와 유사하기 때문에 일반 사용자의 경우 별다른 의심없이 해당 악성파일을 실행할 수 있다. 해당 악성파일이 실행되면 곧바로 아래의 그림과 같이 정상적인 PC사용을 방해하는 화면이 출력될 수 있다.


위 그림의 본문 내용을 통해 정상적인 PC사용을 위해서는 일종의 복호화 키가 필요하며, 키를 원할 경우 특정 휴대전화 번호로 일정 금액을 송부하도록 유도하고 있다. 또한, 감염 후 위 그림과 같은 상황이 발생하면 PC의 다른 기능은 일체 사용이 불가능하며, 하단 부분의 흰색 텍스트바에 유효 코드에 대한 입력만이 가능하다.

해당 악성파일이 실행되면 내부적으로 아래의 그림과 같은 동작을 진행하게 된다.

 

클릭하면 확대된 화면을 보실 수 있습니다.


위 그림을 통해 해당 Ransomware에 감염될 경우 특정 프로세스(exeplorer.exe)에 대한 종료와 함께 추가적인 악성파일이 생성된다는 것을 알 수 있으며, 생성된 악성파일에 대한 레지스트리 등록 부분 또한 확인이 가능하다.

추가적으로 생성되는 "swap32.exe"파일은 원 숙주 파일인 "flashplayer.exe"의 복사본이며, 아래와 같은 레지스트리 등록값을 통해 매번 Explorer.exe와 함께 실행될 수 있도록 한다.

※ 레지스트리 등록값

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  - 이 름 : Shell
  - 데이터 : "Explorer.exe, C:\Documents and Settings\(사용자계정)\Local Settings\Application
                Data\Aware Products\Temp\Cache\Extension\swap32.exe"


해당 Ransomware는 사용자가 입력한 유효 코드와 비교를 하기 위하여 내부에 실제 유효 코드를 가지고 있으며, 아래의 그림과 같이 트레이싱을 통해 실제 유효 코드에 대한 확인이 가능하다.
  

◆ 복호화를 위한 유효 코드


※ 실제 유효 코드

유효 코드는 "123456545" 이며, 해당 코드를 입력하면 복호화 되어 다시 정상적으로 PC사용이 가능하다.
  

3. 예방 조치 방법

위와 같은 Ransomware는 이전에도 언급했지만 사전 대응이 무엇보다 중요하다. 감염되고 나면 일체의 PC사용이 불가능 하기 때문이다. 물론, 감염된 PC의 하드디스크를 정상 PC에 연결하여 해당 Ransomware를 제거하거나 분석을 통해 알 수 있는 유효 코드를 입력하면 해결이 가능하지만 일반 사용자의 경우 이러한 복구 과정을 수행하기에 어려움이 많을 수 있다.

때문에 가장 효율적으로 이러한 Ransomware에 대비하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.112128.LY




저작자 표시
신고
Posted by nProtect
1. 개 요


최근 러시아 등 해외를 중심으로 유효한 코드 입력전에는 사용자의 PC사용을 불가능하게 만들 수 있는 Ransomware의 유포가 증가되고 있는 추세이다. 일단 감염되면 백신 치료 등 사후 대응이 어렵기 때문에 일반 사용자의 경우 감염 되지 않도록 각별한 주의가 요망되고 있다. 최근 사회적으로 각종 개인 정보를 탈취하는 해킹 사건이 빈번한 가운데 이러한 Ransomware가 사이버범죄에 악용된다면 일반 개인은 물론 각 공공기관 및 기업들의 엄청난 물리적, 금전적 손실을 불러올 수 있다.

[Ransomware의 지속적인 출현과 대응 방법]
http://erteam.nprotect.com/158

[웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요]
http://erteam.nprotect.com/138

[퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견]
http://erteam.nprotect.com/121

[Ransomware 변종의 지속적인 출현과 예방 조치 방법]
http://erteam.nprotect.com/112

[Ransomware 변종의 지속적 출현]
http://erteam.nprotect.com/110

2. 유포 경로 및 감염 증상

해당 악성파일은 현재 러시아 등 해외를 중심으로 집중적으로 유포가 이루어지고 있으며, 현재까지 국내에 별다른 피해 사례는 접수되지 않고 있다. 다만, 해당 악성파일은 국내 PC환경에서도 얼마든지 감염이 이루어질 수 있으며, 감염되면 해외에서 발생하는 감염증상과 동일하게 특정 유효 코드를 입력하기 전까지는 정상적인 PC사용이 불가능하다.

해당 악성파일은 이메일의 첨부파일 형태, SNS 및 인스턴스 메신저 등의 링크 접속을 통해 유포될 수 있으며, 해킹된 사이트 등을 통한 악성 링크 접속 등으로도 유포될 수 있는 등 제작자의 의도에 따라 광범위한 유포 경로를 가질 수 있다.

위와 같은 유포 경로를 통해 해당 악성파일을 다운로드하게 될 경우 아래의 그림과 같이 동영상 파일로 위장하는 등 다양한 방법을 통해 사용자들의 실행을 유도할 수 있다.


일반 사용자의 경우 이러한 일종의 사회공학 기법을 악용한 악성파일에 현혹되어 쉽게 위와 같은 악성파일을 실행할 수 있다.
  

◆ 감염 전/후 MBR 비교

기존에는 위와 같은 악성파일에 감염되면 수정된 MBR을 원래의 MBR로 복원하여 PC에 대한 정상적인 이용이 가능하도록 하는 구조로 되어있었으나 최근에 유포되고 있는 Ransomware의 경우 아래의 그림과 같이 MBR에 대한 수정은 이루어지지 않고 있다.

  

다운로드된 해당 악성파일을 실행하게 되면 아래의 그림과 같은 "시스템 종료" 창이 출력될 수 있다.

  

◆ 시스템 종료 현상 발생

위와 같은 시스템 종료 현상은 해당 악성파일이 특정 함수에 의한 커널모드 접근 과정 중 발생하였으며, 아래의 그림과 같은 구조로 되어있다.

  

위와 같은 시스템 종료 창이 출력된 후 사용자의 PC는 "3초" 후에 곧바로 재부팅이 이루어진다. 때문에 별다른 대응조치를 할 수 없고 부팅이 완료되면 아래의 그림과 같이 특정 유효 코드 입력을 요구하는 창이 출력된다.


위 그림과 같은 창이 출력되면 "텍스트 바" 부분만 키보드를 통해 입력이 가능하며, 사용자의 PC는 일체 사용이 불가능하다. 해당 PC의 정상적인 사용을 위해서는 특정 유효 코드가 필요하며, Ransomware는 위 그림의 본문 내용과 같이 특정 휴대폰 번호(9872701688)로 일정 금액을 송부할 경우 해당 유효 코드를 제공한다고 한다. 참고로 해당 특정 휴대폰 번호는 러시아의 통신 사업자를 통해 제공되는 것으로 알려졌다.

3. 예방 조치 방법

Ransomware는 감염 후 실행 화면을 통해 해당 PC에 대한 데이터/MBR 등의 허위 암호화 사실을 알린다. 이러할 경우 일반 기업체나 공공기관에서는 별다른 대책이 없어 악성파일 제작에게 금품을 건네고 PC를 복구하는 등 금전적/시간적 손실을 입는 사례가 적지 않은것으로 알려지고 있다.

물론 감염된 PC내의 하드디스크를 정상적인 PC에 연결하여 내부에 존재하는 악성파일을 삭제하면 PC에 대한 정상적인 사용이 가능하다. 다만, 일반 사용자의 경우 이러한 방법은 상당히 불편할 수 있으며, 기업체나 공공기관 등 다수의 PC가 감염될 경우 이러한 수동조치 방법은 시간적 손실이 상당할 것이다.

때문에 위와 같은 감염증상을 가지는 Ransomware로부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법일 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Timer.78336



저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외를 중심으로 감염 증상 해결을 위해 금전적 요구를 하는 형태의 Ransomware가 지속적으로 등장하고 있어 일반 사용자들의 각별한 주의가 요망되고 있다. 일단 감염이 이루어지면 PC 사용 자체가 불가능해지며, 일정 금액을 지불해야만 해당 증상 해제를 위한 일종의 키값을 받을 수 있기 때문에 시간적, 물리적, 금전적 손실이 뒤따르게 된다. 이번 글을 통해 지속적으로 출현중인 Ransomware에 대해 살펴 본 후 혹시 있을지 모를 피해에 대비할 수 있도록 하자.

2. 감염 경로 및 증상

Ransomware는 취약점이 존재하는 특정 웹 사이트를 통해 유포될 수 있으며, 이메일의 첨부파일이나, 인스턴트 메신저 혹은 SNS(Social Network Services)등을 통해서도 유포가 가능하다.

어떠한 방법으로든 일단 감염이 이루어지면 아래의 그림과 같이 윈도우 창 자체에 일종의 "Lock"을 걸어 PC사용 자체를 불가능하게 한다.

위 그림을 살펴보면 앞서 설명했던 Ransomware의 주요 감염 증상인 금품 요구에 대한 부분을 확인할 수 있다. 또한, 재부팅을 진행해도 해당 "Lock" 증상은 사라지지 않는다.

3. 임시 대응 방법

그렇다면 이러한 악성파일에 감염될 경우 악성파일 제작자의 금품 요구를 따르던가 아니면 감염 PC에 대한 포멧 말고는 해결 방법이 없을까?

아래의 "수동 조치 방법"을 활용할 경우 임시적으로 수동 치료가 가능하니 참고할 수 있도록 하자.

  

◆ 수동 조치 방법

1) 윈도우를 재부팅하여 "F8" 키를 눌러 아래의 그림과 같은 화면으로 이동한 후 "안전 모드"를 선택해 계속해서 부팅 과정을 진행한다.

2) 윈도우 하단의 "시작" -> "실행" -> "regedit" 입력 후 "레지스트리 편집기"를 실행한다.

3) 아래의 경로에 존재하는 악성파일 레지스트리 정보를 삭제 한다.

  - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  - 데이터 : C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\explorer.exe

4) 아래의 경로로 이동하여 해당 악성파일을 삭제한다.

  - 경   로 : C:\Documents and Settings\%username%\Application Data\Microsoft
  - 파일명 : explorer.exe


5) 1~4번 항목을 모두 수행 한 후 재부팅을 진행하면 임시적인 수동치료는 모두 완료된다.

  

4. 예방 조치 방법

위와 같은 Ransomware는 금품 요구를 목적으로 PC사용 자체를 불가능하게 만들기 때문에 만일 기업체 등에서 감염될 경우 중요 데이터 손실 및 금전적 피해를 입을 수 있다.

또한, 해당 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현 가능성이 상당히 크기 때문에 사전 예방 조치가 반드시 선행되어야 한다. 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외를 중심으로 파일들에 대한 암호화 등 다양한 기법을 통해 사용자의 PC를 담보로 금전적 이득 등을 목적으로 하는 악성파일이 지속적으로 유포되고 있다. 블로그를 통해 몇 차례 소개하였던 이 악성파일은 랜섬웨어(Ransomware)라 불리며, 사회공학 기법을 악용해 마치 Internet Explorer 등의 웹 브라우저 업데이트와 관련한 파일로 위장된 변종이 발견되면서 사용자들의 각별한 주의가 요구되고 있다.

  

금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

Ransomware 변종의 지속적인 출현과 예방 조치 방법
http://erteam.nprotect.com/112

퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견
http://erteam.nprotect.com/121

  

2. 감염 경로 및 증상


Ransomware들은 주로 취약점이 존재하는 웹 사이트를 해킹하여 해당 악성파일을 업로드 후 사용자들에게 다운로드를 유도하는 등의 방식을 통해 유포될 수 있으며, 이메일의 첨부 파일이나 인스턴트 메신저, 혹은 SNS(Social Network Service) 등의 링크접속을 통해서도 유포될 수 있다.

해당 악성파일이 유포되는 사이트에 접근할 경우 아래의 그림과 같이 "공격 사이트 보고" 화면을 보여주게 된다.


위 그림에서 "Internet Explorer에 대한 업데이트를 설치" 버튼을 클릭할 경우 아래와 같은 Ransomware 악성파일을 다운로드 하게 된다. 

※ Internet Explorer 웹 브라우저 사용자의 경우 : "Internet-Explorer_update.exe" 파일 다운로드
   구글 크롬 웹 브라우저 사용자의 경우 : "chrome_update.exe" 파일 다운로드

또한, 해당 악성파일에 감염되면 아래와 같이 추가적인 파일을 생성하며, 예약작업을 걸어두어 설정된 시간 동안 해당 악성파일이 지속적으로 동작 하게된다.

※ 생성파일

  - (윈도우 폴더)\Tasks\(10~11자리 임의의 영문자).job


※ (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.

일정시간 후 또는, PC를 재부팅할 경우 아래와 같은 화면을 보여주며, 정상적인 PC사용을 방해한다. 해당 본문 내용은 경찰에서 공지하는 것과 같이 위장되어 있으며, 음란물이나, 허가 받지 않은 소프트웨어 등의 다운로드에 따른 허위 경고 문구를 담고 있다.


본문 내용을 잘 살펴보면 문맥이 어색한 부분(당신은 사이버 범죄를 저지렸습니다!, 물적 증거는 이갰습니다. 등)을 쉽게 발견할 수 있다. 마치 각종 번역기를 통해 번역된 내용을 그대로 옮겨 놓은듯한 내용을 담고 있으며, 아래의 그림과 같이 본문 내용에 대한 다국어 지원을 통해 다양한 국가에서 피해를 유발할 수 있다.


"후표제" 버튼을 클릭할 경우 아래의 그림과 같이 정상적인 PC 사용을 위해 3개의 전화번호를 통한 전화 유도를 하고 있으며, 0.3$를 요구하고 있다. 이는 아주 전형적인 Ransomware의 최종 감염 증상이다.


추가적으로 아래의 그림과 같이 다양하게 파일명이 바뀌어 유포중에 있으며, 모두 정상 웹 브라우저 등의 업데이트 모듈 등으로 위장하고 있다.


3. 예방 조치 방법

이러한 Ransomware는 사용자 PC의 데이터 손실, 금전적 손해 등의 직접적인 피해를 입힐 수 있다. 또한, 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현이 예상된다. 때문에 사전 예방 조치가 반드시 선행되어야 하며, 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
Posted by nProtect

1. 개 요


사용자의 파일 등을 볼모로 금전적 이득을 노리는 Ransomware의 변종이 끊임없이 유포되고 있다. 이러한 가운데 최근 퀵타임 플레이어(QuickTime Player)로 위장한 Ransomware가 출현하여 주의가 필요한 상황이다. Ransomware는 현재 국내에서 특별한 피해사례는 보고되고 있지 않지만, 중요 기관 및 기업체 등의 시스템이 감염될 경우 심각한 금전적 피해가 발생할 수 있는 만큼 Ransomware에 대한 보다 높은 관심이 필요한 시점이다.

참고 : Ransomware 변종의 지속적인 출현과 예방 조치 방법
http://erteam.nprotect.com/112

참고 : Ransomware 변종의 지속적 출현
http://erteam.nprotect.com/110

2. 감염 경로 및 증상

기존에 발견된 Ransomware가 PornoPlayer 와 같이 Anti-Virus가 아닌 다른 의미의 AV 영상물처럼 파일명을 위장했다면, 이번에 발견된 Ransomware는 아래의 그림과 같이 퀵타임 플레이어로 위장했다는 점이 특징이다.


또한, 아래의 그림과 같이 해외 백신 업체인 "Avira"와 관련된 디지털 서명을 사용한 점도 확인할 수 있다.


해당 Ransomware는 각종 취약점을 통해 변조된 웹 페이지에 삽입되어 유포되거나 이메일의 첨부 파일을 통해 유포될 수 있다. 또한, 메신저 혹은 SNS에 게재되어 있는 링크 등을 통한 유포도 가능하다. 

여러 유포 경로를 통해 다운로드가 가능한 해당 Ransomware는 퀵타임 플레이어와 유사한 아이콘 및 파일명을 가지고 있어 일반 사용자들의 경우 쉽게 현혹될 수 있다. 

해당 Ransomware에 감염되면 아래의 그림과 같은 창을 보여주게 되며, 마우스를 통한 숫자 입력 외에 일체의 PC 사용이 불가능하게 된다.


추가적으로 위 그림과 같이 Ransomware가 러시아어를 이용해 구성된 점으로 미루어 보아 러시아 및 러시아어를 사용하는 사람들을 대상으로 제작되었음을 추정할 수 있다.

3. 예방 조치 방법

보통 Ransomware는 감염된 사람들의 파일 등을 볼모로 해 금전적 이득을 취할 목적으로 제작된다. 감염될 경우 PC 사용에 엄청난 제한을 받게 되며, 해당 상태를 해제할 암호키가 있어야만 원래의 상태로 PC를 되돌릴 수 있다. 때문에 해외에서는 암호키를 얻기 위해 제작자에게 일정 금액을 대가로 치르고 암호키를 받거나 PC를 포멧하는 방법을 통해 해당 문제를 해결하는 것으로 알려졌다.

위의 두 가지 방법 모두 사용자 입장에서는 피해를 입을 수 밖에 없는 상황이므로 사용자들은 해당 악성파일에 감염되지 않기 위해 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치의 주기적 수행, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하고 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용, ▶출처가 불분명한 메일의 열람이나, 첨부 파일에 대한 다운로드 자제, ▶메신저와 SNS를 통한 링크 접근 주의 등의 대비책을 세워두는 것이 무엇보다 중요하다.

※ 잉카인터넷 대응팀에서는 이러한 보안 위협에 대비하기 위해 24시간 지속적인 관제 대응체계를 유지하고 있으며, 해당 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
Posted by nProtect
1. 개 요


지난번 글에서 언급하였던 Ransomware의 변종이 해외에서 또 다시 발견되었다. Ransomware는 주로 사용자의 PC에 존재하는 특정 파일들을 암호화하거나 배경화면을 잠그고 제작자가 원하는 화면을 사용자에게 보여주어 암호해제를 위한 키 입력을 주문 등의 증상을 보이며, 복호화를 위한 키 값을 제공하는 조건으로 금품을 요구하고 있다.

업무상 중요한 문서 등이 암호화되거나 PC를 정상적으로 사용할 수 없는 경우가 발생한다면 심각한 금전적 피해가 일어날 수 있다.
이번에 발견된 변종은 어떠한 방식을 취하여 사용자들에게 피해를 줄 수 있는지 알아보도록 하자.

참고 : 금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

참고 : Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

2. 감염 경로 및 증상

Ransomware는 다양한 경로를 통하여 유포 및 감염이 이루어질 수 있다. 공인된 기관이나, 사회적 이슈를 악용해 이메일 상의 첨부 파일이나 링크형태로 유포를 시도할 수 있고 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), Adobe Flash 등의 취약점을 이용한 웹사이트 변조를 통해 유포하는 방법도 가능하다.

이번에 발견된 악성파일은 하기의 그림과 같이 동영상 관련 파일명으로 위장하고 있다.


우선 감염이 이루어지면 하기의 그림과 같이 바탕화면을 잠그고 복호화 키 입력을 요구하는 화면을 사용자에게 보여준다.


또한, PC를 재부팅 해도 마찬가지 증상을 보이며, 위 그림과 같이 특정키 값에 대한 입력을 요구하고 있다.

3. 예방 조치 방법

현재 해당 Ransomware로 인해 특별한 피해 사례는 보고되지 않고 있다. 다만, Ransomware의 특성상 중요한 파일이 암호화되어 해당 파일을 사용할 수 없거나 위와 같이 PC를 정상적으로 사용할 수 없을 경우 심각한 피해를 입을 수 있기 때문에 해당 악성파일 제작자는 이러한 점에 주안점을 두고 금전적 이득을 목적으로 지속적인 변종을 제작 및 유포하고 있다.

이와 같은 Ransomware로 부터 안전하기 위해서는 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치, ▶중요한 파일 등의 경우 다른 저장매체를 통한 백업의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 "ON" 상태로 유지하는 등의 관심이 무엇보다 중요하다.


저작자 표시
신고
Posted by nProtect

1. 개요

해외시각으로 2010년 11월 29일경, GpCode의 변종으로 알려진 Ransomware가 출현 하였다는 사실이 해외 보안 업체 및 해외 블로그를 통해 보고 되었다. 이번 시간에는 이슈가 되었던 해당 악성파일에 대해 국내에서도 정상적으로 구동이 가능한지, 또한 예방 방법으로는 어떠한 것들이 있는지 살펴볼 수 있는 시간을 가져 보도록 하겠다.

[ 금품요구 목적의 새로운 Ransomware 출현! ]
http://erteam.nprotect.com/84

2. 유포 방식

이번 GpCode 변종으로 알려진 Ransomware는 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), 어도비 플래시(Adobe Flash)의 취약점을 이용해 감염 및 변조된 웹사이트를 통해 악성파일을 유포하는 것으로 알려졌다.

3. 감염 방식 및 증상

이 악성파일에 감염되면 우선 하기의 그림과 같이 배경화면이 위의 그림과 같이 변경되며, RSA-1024 암호화 방법을 통해 사용자의 파일을 암호화 하였다는 문구를 보여준다.

                                                                       < 감염 시 배경화면 >

또한, 위 그림에서 적색 박스로 표시된 txt파일을 열어보면 하기의 그림과 같이 사용자의 그림, 문서 등의 파일을 암호화 하였다는 내용과 함께 복구파일을 건네주는 조건으로 금품을 요구하고 있다.


상기의 내용을 자세히 살펴보면 특정 복원 파일만이 암호화된 파일에 대한 유일한 복원 방법임과 동시에 일정시간이 흐르면 파일이 삭제되어 더이상 복구가 불가능 하다는 내용이 포함되어 있다. 즉, 복원파일에 대한 금품요구(미화 120달러, 한화 약 13만 5천원)를 유도하는 것이다. 또한, 상기의 내용에 포함되어 있는 해당 악성파일 제작자와 접촉이 가능한 이메일의 경우 변종 출현 시 마다 계정이 변경될 수 있다.


해당 악성파일은 한글판 윈도우 환경에서도 구동된다는 것이 확인되었으며 감염 시 doc, docx, txt, pdf, xls, jpg, bmp, mp3, zip, rar, avi, mdb, psd, dbf 등의 확장명을 가지는 파일에 대한 암호화를 진행하고 위 그림과 같은 파일명을 가지게 된다.

4. 예방 조치 방법

금번과 같은 Ransomware는 감염된 이후 각종 업무진행에 필요한 문서파일 등을 암호화하여 기업의 경우 더욱 심각한 문제를 초래 할 수 있다. 때문에 해당 악성파일 제작자는 최종 목적인 금전적 이득을 위해 이러한 점을 악용했다고 볼 수 있다.

현재 국내에서 해당 악성파일로 인한 특별한 피해 사례는 발생하지 않고 있으나 암호화된 파일들의 뚜렷한 복호화 방안이 아직 마련되지 않아 분석중에 있다. 그렇기 때문에 현재로선 해당 악성파일에 대한 사전방역이 무엇보다 중요하며, 자신의 파일에 대한 보호를 위해 아래와 같은 몇가지 보안 관리 수칙을 반드시 수행해야 한다.

[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 각종 취약점을 보완하기 위한 보안패치의 생활화

2. P2P 사이트 등을 통한 불법적인 다운로드 행위 지양

3. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화

4. 수신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양

5. 중요한 문서 파일의 경우 항상 다른 저장매체를 이용한 백업작업 수행

6. Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

nProtect Anti-Virus 제품군에서는 현재까지 수집된 Ransomware에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있으며, 관련하여 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
Posted by nProtect