상세 컨텐츠

본문 제목

글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

악성코드 분석 리포트

by 알약(Alyac) 2017. 5. 26. 12:56

본문

글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


안녕하세요. 이스트시큐리티입니다.

서비스형 랜섬웨어(RaaS) 일종인 '오토크립터(AutoCryptor)' 변종이 국내에 다량 유포되고 있습니다. 특히, 국제 배송 안내를 사칭한 이메일을 통해 급속히 확산되고 있어 주의가 필요합니다.


▲ 오토크립터 랜섬웨어 감염 흐름도


이스트시큐리티 시큐리티대응센터(ESRC)는 “이번에 발견된 오토크립터 랜섬웨어 역시 나름 정교하게 작성된 한글 이메일을 활용하는 등 작년 말부터 꾸준히 이어진 비너스락커(VenusLocker) 랜섬웨어의 공격 방식과 상당부분 일치하며, 일부 코드의 경우 100% 동일하게 제작되어 있는 등 비너스락커 공격자가 다양한 랜섬웨어 변종을 제작해 유포하고 있는 것으로 보고 있다.”고 전했습니다.


※ 관련 글

- 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! ▶ 자세히 보기


발견된 이메일은 ‘leemoonjung1211@gmail.com’이라는 계정으로, ‘FedEx Support Team’을 사칭하여 발송되었습니다. 일부 고객피해 사례가 접수되고 있어, 각별한 주의가 필요합니다.


▲ 페덱스 배송 안내로 위장한 랜섬웨어 유포 이메일


해당 이메일 본문에는 “고객님의 물품을 부득이하게 전달해드릴 수 없으니 첨부된 영수증과 배송장을 출력하여 가까운 FedEx 사무실에 방문하여 물품을 전달받으라는 내용”으로 마치 일반적인 배송 물품 안내처럼 위장되어 있습니다. 이를 통해 수신자로 하여금 관심을 끌고, 첨부파일을 실행하도록 유도합니다.


 배송장 파일로 위장한 압축파일과 바로가기 속성


이메일에 첨부된 압축파일 ‘HBDIN_386572.egg’ 내부에는 바로가기(.lnk) 파일로 위장한 ‘배송장.jpg’, ‘영수증.jpg’ 파일과 실제 랜섬웨어 기능의 실행파일(.exe)이지만 문서 파일로 확장자를 위장한 ‘페덱스지점안내.doc’ 파일로 구성되어 있습니다.


만약 수신자가 육안상 실행파일이 아닌 것에 안심하거나, 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹되어 ‘배송장.jpg’ 파일이나 ‘영수증.jpg’ 파일을 실행하면 바로가기 내부 명령어에 의해 ‘페덱스지점안내.doc’ 파일이 자동으로 실행됩니다. 그리고 즉시 랜섬웨어에 감염이 이뤄집니다. 물론 ‘페덱스지점안내.doc’ 파일을 가장 먼저 실행할 경우, 실제 정상적인 워드문서(.doc)가 아니기 때문에 정상적으로 감염되지는 않습니다.


그러나 바로가기 파일에 의해 ‘페덱스지점안내.doc’ 파일이 실행될 경우, 국내에서 사용하는 한글 문서(.hwp) 자료 뿐만 아니라 각종 문서, 이미지, 동영상 파일 등 PC에 저장되어 있는 중요한 자료들이 암호화되는 피해를 입을 수 있습니다.


▲ 바탕화면에 생성된 AutoCryptor 랜섬노트 화면 


 랜섬웨어 감염 시 보여지는 한글로 된 복호화 안내문


랜섬웨어에 의한 암호화 과정이 모두 완료되면 바탕화면 등에 ‘THIS_YOU_MUST_READ.txt’ 이름의 랜섬노트 파일이 생성됩니다. 이후 복호화 과정을 한국어로 안내하는 결제 요구 창이 발생합니다. 이번 공격에도 지난 번과 동일하게 0.1 비트코인을 요구하고 있습니다.


공격자는 수사기관 등의 추적을 피하기 위해 토르(Tor) 웹 브라우저로만 접속 가능한 다크 웹(Dark Web) 주소를 사용했습니다. 랜섬노트 내용에는 “술 한잔 마시는 금액으로 당신의 중요한 파일들을 복구하세요.” 라는 표현도 포함되어 있습니다.


 알약 행위기반 랜섬웨어 탐지 기능으로 차단된 화면


현재 통합 백신 ‘알약(ALYac)’에서는 오토크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.AutoCryptor’로 진단 후 치료하고 있습니다. 또한 랜섬웨어 행위기반 차단으로, 변종에 대한 대응도 진행 중입니다.







관련글 더보기

댓글 영역