포스팅 내용

악성코드 분석 리포트

'차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

'차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


안녕하세요. 이스트시큐리티입니다.

최근 경찰서에서 보낸 '과태료 부과 고지서'인 것처럼 위장된 이메일에서 '오토크립터(AutoCryptor)' 랜섬웨어 변종이 유포되고 있어 사용자들의 긴급 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터(ESRC)는 이번에 발견된 경찰서 사칭을 통해 유포된 오토크립터 랜섬웨어 역시 지난 페덱스 사칭 사례와 마찬가지로 나름 정교하게 작성된 한글 이메일을 활용하고 있다고 밝혔습니다. 공격자는 다양한 내용을 토대로 랜섬웨어를 유포하고 있는 것으로 보입니다.


※ 관련 글

 - 글로벌 특송업체 '페덱스' 배송팀을 사칭한 '오토크립터' 한국형 랜섬웨어 확산! ( ▶바로가기 )


'과태료부과 사전 통지서'로 위장한 랜섬웨어 유포 이메일

해당 이메일 본문은 '귀하의 차량이 법규 위반한 사실이 확인되어 과태료 부과대상이 되었으며, 첨부된 사전납부고지서를 참고하라'는 내용의 과태료 부과 통지 안내처럼 위장되어 있습니다. 이를 통해 수신자로 하여금 관심을 끌고, 첨부파일을 실행하게끔 유도합니다.


이메일에 첨부된 압축파일 '과태료부과사전통지서.egg'은 바로가기(.Ink) 파일로 위장한 '1. 과태료부과고지서.jpg' 파일과 문서 파일로 확장자를 위장한 실제 랜섬웨어 기능의 실행파일(.exe)인 '과태료부과고지서.hwp' 파일로 구성되어 있습니다. 


과태료부과 사전 통지서 파일로 위장한 압축파일과 바로가기 속성


‘과태료부과고지서.hwp’ 파일을 가장 먼저 실행할 경우, 실제 정상 한글문서(.hwp)가 아닌 위장된 파일이기 때문에 정상적으로 열리지 않아 감염되지 않습니다. 하지만 수신자가 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹되어 파일을 실행하면 바로가기의 내부 명령어에 의해 ‘과태료부과고지서.hwp’ 파일이 자동으로 실행됩니다. 


그리고 그 즉시 국내에서 사용하는 한글 문서(.hwp) 자료뿐만 아니라 각종 문서, 이미지, 동영상 파일 등 PC에 저장되어 있는 중요한 자료들이 암호화되는 오토크립터 랜섬웨어에 감염됩니다.


랜섬웨어 감염 시 보여지는 한글로 된 복호화 안내문


내용이 변경된 랜섬노트


암호화 과정이 모두 완료되면 바탕화면 등에 ‘THIS_YOU_MUST_READ.txt’ 이름의 랜섬노트 텍스트 파일이 생성되고 ,복호화 과정을 한국어로 안내하는 결제 요구 창을 띄웁니다. 이번 랜섬노트에서는 0.1btc 당 금액이 변경되었으며, 스스로 ‘오토디크립트 랜섬웨어’라고 칭하는 점이 특징입니다.


현재 ‘알약(ALYac)’에서는 오토크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.AutoCryptor’로 진단 후 치료하고 있으며, 랜섬웨어 행위기반 차단으로 변종에 대한 대응도 가능한 상태입니다.








  1. 알약 짱짱 2017.05.29 22:02 신고  수정/삭제  댓글쓰기

    안녕하세요! 컴퓨터 보안을 공부하고 있는 한 학생입니다. 이번에 유포된 Autocryptor 랜섬웨어 샘플을 구해서 테스트를 해보고 싶은데 샘플을 구할 수 없어서 죄송하지만 여기다가 문의드려 봅니다. 혹시 샘플을 보내주실 수 있으시면 정말 감사드리겠습니다.

    • 알약(Alyac) 2017.05.30 09:01 신고  수정/삭제

      안녕하세요. 보안 업체에서는 어떠한 목적이라도 개인이나 기관에게 샘플을 제공해 드리지 않습니다. 요청해주신 샘플은 제공해드리기 어려운 점 양해 부탁드립니다. 참고로 구글의 멀웨어 샘플 서치(https://cse.google.com/cse/home?cx=001439139068102559330:uruncpbgqm8)를 통해 검색해보실 수 있으니 참고 부탁 드립니다. 감사합니다.

  2. 박수태 2017.05.29 23:28 신고  수정/삭제  댓글쓰기

    랜섬웨어 정말 걱정이네요.

    알약의 신속한 정보 제공에 감사합니다.

    • 알약(Alyac) 2017.05.30 09:02 신고  수정/삭제

      칭찬 댓글 감사 드립니다. ^^ 앞으로도 유용한 정보를 신속히 제공해드리기 위해 노력하겠습니다.

  3. 오투더타 2017.05.30 20:41 신고  수정/삭제  댓글쓰기

    ‘과태료부과고지서.hwp’ 파일을 가장 먼저 실행할 경우, 실제 정상적인 한글문서(.hwp)가 아니기 때문에 감염되지 않습니다. -> 한글파일 먼저 실행하면 감염안되고, 그림파일을 실행해야 감염된다는 말씀이신가요?

    • 알약(Alyac) 2017.05.31 09:39 신고  수정/삭제

      '과태료부과고지서.hwp' 파일의 경우, 본문에서 언급드린 것처럼 한글 파일 확장자로 위장된 실행파일이기 때문에 정상적으로 열리지 않습니다. 그래서 의아한 사용자가 그림 파일로 위장된 바로가기(*.lnk)를 실행하게 유도하고, 위장된 바로가기 실행파일이 실행되는 방식입니다. 일종의 심리 기법이라고 볼 수 있습니다. 이 점 확인 부탁 드릴게요! 감사합니다.

  4. Plating master 2017.05.30 22:50 신고  수정/삭제  댓글쓰기

    알약 공식 블로그네 ㅋㅋㅋ

티스토리 방명록 작성
name password homepage