포스팅 내용

악성코드 분석 리포트

10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


작년 말부터 국가 기관 및 기업, 심지어 국내 포털 사이트의 블로그 서비스 이용자를 대상으로 한 한국 맞춤형 비너스락커(VenusLocker) 랜섬웨어가 다양한 형태로 다수 유포되었습니다.


※ 관련 글

 - 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼... 관계자 주의 필요 (▶자세히보기)

 - 확장자 숨겨 악성파일 열어보게 만드는 메일 유포... 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

   (▶자세히보기)

 - 교육 일정표 위장한 '한국 맞춤형' 비너스락커 랜섬웨어 변종 국내 유포 중! (▶자세히보기)

 - 쇼핑몰에서 유출된 '고객 개인정보 리스트' 사칭한 변종 랜섬웨어 유포 중 (▶자세히보기)


그러던 중 최근 특정 설문조사 내용을 사칭한 메일이 관련 분야 이용자들에게 다량으로 유포되어, 국가 기관 및 기업 관계자들의 각별한 주의가 필요합니다.


이번에 새롭게 유포된 랜섬웨어는 기존 비너스락커 방식처럼 한글 이메일로 유포되었지만, 비너스락커가 아닌 오토크립터(AutoCryptor)라는 새로운 랜섬웨어로 변경되었습니다. 이는 해외의 다크웹(DarkWeb) 등에서 서비스형 랜섬웨어(RaaS:Ransomware as a Service)로 소개되고 있는 종류입니다.


RaaS는 랜섬웨어 개발자(판매자)가 잠재적 범죄자(수요자)에게 랜섬웨어를 서비스 기반으로 판매하는 방식을 의미합니다. 특히 개발을 할 줄 모르는 사람도 RaaS를 통해 단순 클릭만으로 랜섬웨어를 제작할 수 있습니다. 따라서 공격자는 직접 랜섬웨어를 개발하는 것보다 간편하고, 다양한 기능을 활용하여 공격에 드는 비용과 시간 또한 절약할 수 있습니다. 또한 유포자 추적과 식별이 어려운 점, 보안제품 우회 기능 등의 이점도 있기에 VenusLocker 공격자가 새롭게 AutoCryptor를 활용하기 시작한 것으로 보여집니다.


[그림1] 랜섬웨어 서비스를 제공하는 RaaS 사이트 화면


해당 이메일을 보낸 계정은 'leeseojin(숫자)@gmail.com'입니다. 이는 근래까지 유사한 방식으로 VenusLocker 랜섬웨어 유포에 이용한 'leechangsoo(숫자)@gmail.com' 이메일 계정과 비슷한 한글의 영문식 이름 패턴으로 만들어지고 있습니다. 


유포된 이메일은 도안 이미지 내용으로 위장해 수신자가 호기심에 첨부된 파일을 실행하도록 유도하는 심리 기법을 이용해 다수의 블로거들에게 배포되었습니다.


이메일에 첨부된 압축 파일 '도안.egg'은 내부에 이미지 파일로 위장된 '도안1.jpg.Ink', '도안2.jpg.Ink', '도안3.jpg.Ink'의 바로가기(Ink) 파일, 그리고 실행파일(exe)인 '도안4.jpg'로 구성되어 있습니다. 만일 수신자가 바로가기 파일을 도안으로 오해하여 실행할 경우, cmd 프로세스가 호출되어 실제 랜섬웨어 기능을 가진 '도안4.jpg'가 실행됩니다.


[그림2] 첨부된 '도안.egg' 파일과 바로가기 파일 속성


랜섬웨어가 실행되면 다수의 이미지와 문서 파일 등이 암호화되어 정상적으로 열람할 수 없게 됩니다. 또한 국내에서 많이 사용되는 한컴 문서 파일(hwp)도 암호화 대상에 포함되어 있어 치명적입니다. 


이번 랜섬웨어 역시 윈도우 볼륨 복사본을 제거("vssadmin.exe delete shadows / ALL / Quiet")하고 보안 삭제 명령(cipher /w)을 사용해 추후 암호화된 파일을 손쉽게 복구하지 못하도록 만듭니다. 암호화 과정이 모두 끝나면 바탕화면 등에 랜섬노트 파일인 'READ_ME.txt'을 생성하고, 랜섬웨어 결제 요구 창을 보여주면서 영문 음성 메시지(TTS: text-to-speech)로도 랜섬웨어 감염 사실을 알려줍니다.


[그림3] 랜섬웨어 감염 시 나타나는 AutoCryptor 화면 (1)


[그림4] 랜섬웨어 감염 시 나타나는 AutoCryptor 화면 (2)


비너스락커를 포함해 주요 랜섬웨어는 1.0 비트코인 결제를 요구하여 높은 수익을 얻으려고 합니다. 하지만 이번 AutoCryptor 랜섬웨어는 0.1 비트코인이라는 나름 저렴한 가격을 이용자에게 제시하였습니다. 일종의 '박리다매'로 많은 수익을 얻으려는 것으로 보입니다.


한편 해당 랜섬웨어는 한국어로 비트코인 결제를 안내하고 있으며, '업체에서 터무니 없는 가격을 요구하면 다른 업체를 찾으시는걸 권고합니다' 등의 한국 환경에 최적화된 내용이 포함되어 있습니다. 이를 토대로 공격자는 한국어를 구사할 수 있는 특정 그룹 혹은 개인으로 추정되며, 한국 내 랜섬웨어 관련 이슈를 잘 파악하고 있는 것으로 확인됩니다.


[그림5] AutoCryptor 랜섬 노트


토르 웹 브라우저에서 랜섬노트에 기재된 페이지로 접속할 경우, 복호화 키를 구매할 수 있는 사이트로 연결됩니다. 하지만 매 접속 마다 비트코인 지갑 주소가 변경되기에 프로파일링을 통해 공격자를 추적하기 어려워진 점도 주목할만 합니다.


[그림6] 매 접속마다 변경되는 비트코인 지갑 주소


지금까지의 내용을 정리해보면 작년 말부터 VenusLocker 랜섬웨어를 통해 국가 기관 및 기업, 그리고 블로거에 이르기까지 다양한 공격이 진행되었습니다. 하지만 venusLocker를 이용한 공격자는 최근부터 AutoCryptor 랜섬웨어를 사용하는 등 수익을 얻기 위해 다양한 시도를 하고 있습니다. 또한 이번 공격 사례와 같이 공통 관심사나 신뢰기반의 사회공학적 보안위협은 갈수록 증대되고 있는 실정입니다. 


따라서 이용자들은 중요한 자료들을 별도의 이동식 디스크에 수시로 백업을 하고, 이메일에 파일이 첨부된 경우 각별히 주의해야 합니다.


[그림7] 알약 랜섬웨어 차단 알림


현재 통합 백신 알약(ALYac)에서는 AutoCryptor 랜섬웨어를 탐지명 'Trojan.Ransom.AutoCryptor'로 진단 후 치료하고 있습니다. 또한 랜섬웨어 행위기반 차단으로 변종에 대한 대응도 가능한 상태입니다.







티스토리 방명록 작성
name password homepage