>고객센터>보안이슈

보안이슈

[보안뉴스] 케르베르 이어 매트릭스 랜섬웨어도 귀환! 웹 통해 피해 확산

[보안뉴스 권 준 기자]

 

악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드((Drive-by-Download) 방식으로 피해를 확산시키는

‘매트릭스(Matrix)’ 랜섬웨어가 국내에 또 다시 출현해 피해가 발생하고 있다.
 

▲ 매트릭스 랜섬웨어 감염시 PC 화면에 뜨는 랜섬 노트[이미지=하우리]

 


보안전문기업 하우리에 따르면 최근 매트릭스 랜섬웨어가 웹을 통해 국내에 유포되고 있다는 것으로 드러났다.

매트릭스 랜섬웨어는 지난 5월 본지에서 한번 소개했던 랜섬웨어로 인터넷 사용자들은 웹사이트 접속만으로

랜섬웨어에 감염될 수 있어 각별한 주의가 요구되고 있다.

현재 매트릭스 랜섬웨어는 악성코드 유포 공격도구인 ‘선다운(Sundown)’ 익스플로잇 킷을 통해 국내에 유포 중으로,

하우리 관제 서비스를 통해 국내에 유포되고 있는 정황이 확인됐다. 실제로 국내 다수의 사용자들이 해당 랜섬웨어에 감염되는 등 피해가 확산되고 있다.

해당 랜섬웨어는 감염된 PC 사용자의 IP가 아동 음란물 사이트 등에 접속하여 미국 연방법을 위반했기 때문에

모든 중요 파일들을 암호화했으니 벌금을 내라고 경고한다.

96시간 이후에는 복구가 불가능하며, 매 12시간마다 100달러씩 복구 가격이 증가한다고 협박한다.

실제 랜섬웨어에 감염되면 다수의 주요 파일들을 암호화한다.

다만 기존의 다른 랜섬웨어들과는 다르게 암호화된 파일의 확장자를 변경하지는 않는 것으로 분석됐다.

또한, 파일이 암호화된 같은 폴더의 경로에는 “!WhatHappenedWithMyFiles!.rtf”라는 파일명의 랜섬웨어 감염 노트를 만들어

사용자가 이를 열람하고 비용을 지불할 수 있도록 유도한다.

 

최근 케르베르 랜섬웨어가 ‘CRBR ENCRYPTOR’로 간판을 바꿔 국내에 다시 유포되고 있는 사실이 드러난 데 이어

이번엔 매트릭스 랜섬웨어가 또 다시 귀환해 국내 인터넷 사용자들을 위협하고 있다.

이에 네티즌들은 검증되지 않은 웹사이트는 아예 접속하지 말고,

백업 생활화와 함께 랜섬웨어 탐지 솔루션을 적극 활용할 필요가 있을 것으로 보인다.

 

 

권 준 기자(editor@boannews.com)

<저작권자: 보안뉴스 무단전재-재배포금지>

 

[보안뉴스] 말하는 랜섬웨어 ‘Cerber’의 진화! 10월부터 ‘랜덤’하게 변신

올해 3월 첫 등장, 말하는 랜섬웨어로 유명세
10월 들어 4자리 랜덤한 확장명 패턴으로 파일 암호화 방식 변경


[보안뉴스 권 준 기자] 지난 3월 처음 등장한 이후, 말하는 랜섬웨어로 유명세를 탄 ‘Cerber(케르베르)’가 진화를 거듭하면서 최근에는 확장명을 랜덤하게 변화시키는 변종이 출현한 것으로 드러났다. 

보안전문 블로거 ‘울지 않는 벌새’(이하 벌새)에 따르면 Cerber 랜섬웨어가 10월 초부터 ‘(Random 파일명).(4자리 Random 확장명)’ 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌다.

원래 Cerber는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 지닌 랜섬웨어로, 장기간 활발하게 유포가 이루어져 많은 피해자를 양산시켜 왔다.

이에 마이크로소프트(Microsoft)에서는 지난 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작한 바 있다.

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점을 통해 자동 감염이 이루어지는 방식으로 전파됐다. 그러던 중 10월에 접어든 이후부터 4자리 랜덤한 확장명 패턴으로 파일 암호화를 하는 방식이 변경된 것이다.

해당 방식으로 최초 감염이 이루어진 Cerber 랜섬웨어는 러시아에 위치한 IP 대역을 타깃으로 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함한 디도스(DDoS) 공격을 시도하는 행위를 확인할 수 있었다는 게 벌새의 설명이다.

이후 ‘C:\Windows\System32\wbem\WMIC.exe’ shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후, 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행하는 것으로 나타났다.

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im ‘(Cerber 악성 파일명).exe’ 명령어를 통해 자신을 종료 처리하는 것으로 분석됐다.

Cerber 랜섬웨어를 통한 파일 암호화 완료 시점에서는 바탕화면 배경을 ‘C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp’ 그림 파일로 변경하게 된다. 또한, 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용해 “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!” 목소리를 출력하여 암호화 사실을 안내하게 된다.
 

이후 ‘C:\Windows\System32\mshta.exe’ 시스템 파일을 통해 ‘C:\Users\%UserName%\AppData\Local\Temp\README.hta’ 파일을 로딩하여 한글로 표기된 랜섬웨어 결제 안내창을 표시하는 것으로 알려졌다. 특히, 한글화가 기계적인 번역이 아닌 한국어를 일정 수준 이상으로 사용하는 사람이 번역한 것으로 추정된다고 벌새는 밝혔다.

이와 관련 벌새는 “실제로 연결된 Cerber Decryptor 페이지에서는 초창기와 동일하게 한국어를 지원하지는 않으며, 여전히 한글문서(.hwp)가 암호화 대상이 아니라는 점에서 한국을 집중 표적으로는 하지 않는 것 같다”고 말했다.

이어 그는 “최근의 Cerber 랜섬웨어는 백신 및 랜섬웨어 차단 솔루션의 진단을 우회할 목적으로 암호화 방식을 더욱 빠른 주기로 변경하는 것으로 보인다”며, “현재 AppCheck 안티 랜섬웨어 제품은 추가적인 업데이트 없이 모든 종류의 Cerber 랜섬웨어에 대하여 파일 암호화 행위 차단과 함께 일부 훼손된 파일을 자동으로 복원할 수 있다는 사실을 확인했다. 이에 백신 프로그램과 AppCheck 안티 랜섬웨어를 함께 사용할 것”을 권했다.

한편, Cerber 랜섬웨어의 비트코인(Bitcoin) 실제 가격은 초창기 1.24(507달러)에서 현재는 1.000(608달러)으로 상승한 상태이며, 5일이 경과할 경우 2배 가격으로 상승한다고 안내하고 있다. [권 준 기자(editor@boannews.com)]

BestKit

실시간 데이터 백업이 가능한 긴급복구 솔루션

Copyright (c) 2016 BitzKorea. All right reserved

BitzKorea 서울시(07547) 서울특별시 강서구 양천로 583 우림블루나인 B동 16층
대표이사 : 임달혁사업자등록번호: 105-86-14725
02-2093-7400 02-6499-1339 master@bitzkorea.com

BK BLOG 수정

수정하기

BK FACEBOOK 수정

수정하기

우편번호 검색

찾으시려는 동(읍/면/리)의 이름 또는 도로명 주소(새주소)를 입력해 주세요.
도로명 주소는 건물번호 또는 건물명까지 상세히 입력후 검색해 주세요.
검색 결과는 1000건 까지만 표시되며 결과가 많으면 누락될 수 있습니다.
(지) 지번주소 : 동/면/읍/리 이름
(도) 도로명주소 (새주소) : 도로명 (~로, ~길) + 건물번호