상세 컨텐츠

본문 제목

CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼

국내외 보안동향

by 알약(Alyac) 2017. 3. 17. 11:28

본문

CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼

Revenge Ransomware, a CryptoMix Variant, Being Distributed by RIG Exploit Kit


최근 RIG 익스플로잇 키트를 통해 배포 되는 CryptoMix 또는 CryptFile2의 변종인 Revenge 랜섬웨어가 발견되었습니다. 이 변종은 또 다른 CryptoMix의 변종인 CryptoShield와 유사하지만, 일부가 수정되었습니다. 


보안 연구원들은 해킹 되어 RIG 익스플로잇 키트 자바스크립트가 추가 된 웹사이트에서 Revenge 랜섬웨어가 배포 되고 있는 것을 확인하였습니다. 이렇게 변조된 사이트들을 방문하면 사용자의 동의 없이 Revenge 랜섬웨어가 설치될 수 있습니다. 


[RIG 익스플로잇 키트의 트래픽]

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>


Revenge는 AES-256 알고리즘을 사용해 파일 및 파일 이름을 암호화 하고, .REVENGE 확장자를 추가합니다. 예를들어, test.jpg라는 파일이 암호화 될 경우 ABCDEF0123456789B7BC7311B474CAFD.REVENGE 와 같은 이름으로 변경 될 것입니다.


피해자의 파일을 암호화 하는데 사용 된 AES 암호화 키는 내장 된 RSA-1024 공개 키를 사용해 암호화 되며, 랜섬웨어의 개발자만 이를 복호화할 수 있습니다.


현재 공용키는 다음과 같습니다. 


-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB

-----END PUBLIC KEY-----


Revenge 랜섬웨어는 아래의 가짜 경고창을 띄웁니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>


영어의 문법이 맞지 않기 때문에, 이 경고가 진짜가 아니라는 것을 알 수 있습니다.


[ 텍스트 랜섬 노트 ]

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>


안타깝게도 현재로써는 Revenge 랜섬웨어로 암호화 된 파일을 무료로 복호화할 수 있는 방법은 없습니다.



현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.REVENGE로 탐지중에 있으며, 랜섬웨어 차단기능에서 성공적으로 차단중에 있습니다. 




하지만 랜섬웨어의 변종이 지속적으로 등장하는 만큼, 사용자여러분께서는 자주 사용하시는 SW 및 브라우저를 최신버전으로 업데이트 하시고, 또한 중요 자료는 주기적으로 백업해 보관하시는 것을 권고 드립니다. 





출처 :

https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/



관련글 더보기

댓글 영역