포스팅 내용

악성코드 분석 리포트

[주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.




  1. 수재링 2017.11.13 15:12 신고  수정/삭제  댓글쓰기

    랜섬웨어 차단로직에도 추가된건가요

    • 알약(Alyac) 2017.11.13 18:13 신고  수정/삭제

      네. 해당 랜섬웨어는 실시간 감시 기능의 차단패턴이 추가된 상태이고요. 행위기반에서도 Decoy 파일을 암호화시도할 경우 차단이 가능합니다. 앞으로도 랜섬웨어 차단 기술개선에 힘쓰도록 하겠습니다. 감사합니다.

  2. 다행히 2017.11.14 08:46 신고  수정/삭제  댓글쓰기

    다행히도 배포는 안한다고 하더군요.

    • 알약(Alyac) 2017.11.15 09:46 신고  수정/삭제

      안녕하세요?

      랜섬웨어는 매우 위험한 종류의 악성 프로그램이라 각별한 주의가 필요하겠습니다.

      감사합니다.

  3. tintin 2017.11.14 20:49 신고  수정/삭제  댓글쓰기

    이분이 일부로 하신것도 아니구요, 바이러스 토탈에 올리셨을 뿐입니다. 하지만 기레기들과 악플러들 때문에 이분은 현재 자살 암시글까지 올리셨습니다. 이분을 제발 그냥 놔 두세요..

    • 알약(Alyac) 2017.11.15 09:53 신고  수정/삭제

      안녕하세요?

      단순 호기심이나 자기과시 등의 목적으로 랜섬웨어를 직접 제작해 감염 동영상까지 인터넷에 공개하는 것은 불필요한 오해와 부작용이 발생할 수 있어 각별한 주의가 필요할 수 있답니다.

      혹시 도움이 필요하시다면 언제든지 연락을 부탁드립니다.

      감사합니다.

  4. 권고 2017.11.15 09:47 신고  수정/삭제  댓글쓰기

    이거 좀 심각한듯. 이스트에서 조치취해셔야할듯.
    ------------

    모두에게 죄송합니다.
    저는 이 사건을 해결하기 위해 바이러스 토털에 파일 삭제 요청 메일을 보냈으며, 킬 스위치 시도를 했습니다. 킬 스위치가 제대로 작동하길 빌고 있습니다..
    우선 14살에 오픈소스를 참고해서 바이러스를 제작한 이유가 공부에 목적이기 때문에 파일을 배포할 생각이 전혀 없었습니다.
    바이러스 토털에 업로드할 때 저는 그 누구도 제 바이러스를 받을 수 없는 줄 알았습니다.
    제 바이러스는 바이러스 토털을 제외하면 업로드한 곳이 없음을 밝힙니다.
    복호화툴 제작은 거의 불가능하다고 생각합니다.
    저는 서버에 키를 저장하지 않은 걸로 기억하며 복호화가 불가능하다고 생각합니다.
    저는 반성을 위해 2018.01.01까지 대부분 활동을 하지 않을 것이며, 앞으로 바이러스 제작을 하지 않겠습니다.
    저도 더 이상 살고 싶지 않습니다.
    저도 이 사건을 해결하고 싶습니다.
    제가 왜 바이러스 토털에 업로드했는지 후회됩니다.
    다시 한번 모두에게 죄송합니다.


    • 알약(Alyac) 2017.11.15 09:57 신고  수정/삭제

      안녕하세요?
      제작자의 유튜브 동영상에 올려진 내용과 앞으로 제작을 하지 않겠다는 글을 확인하였습니다.
      그러나, 단순 호기심이나 공부 목적일지라도 랜섬웨어를 직접 제작해 업로드 하는 행위는 불필요한 피해와 부작용을 낳을 수 있어 각별한 주의와 빠른 대응이 필요한 부분입니다.
      이스트시큐리티는 사용자들의 안전을 위해 앞으로도 랜섬웨어 유포를 막기 위한 활동을 지속해 나갈 예정입니다.
      또한 제작자의 글과 관련하여 당사가 특정 입장을 밝히거나 직접 조치를 취할 당사자는 아님을 참고 부탁 드립니다.
      감사합니다.

  5. inmsew9uothsew438t9gb6f7g 2017.11.16 09:41 신고  수정/삭제  댓글쓰기

    단순 호기심을 가진 상태로 공부 목적을 가지고 배포하지 않고 제작한 테스트용 랜섬웨어가 어떻게 남들에게 피해를 남기며 부작용을 낳을 수 있는지 확실한 설명 부탁드립니다.
    바이러스 토털 인텔리전스에서 한국말이 삽입된 랜섬웨어를 건져서 이슈 확보를 하기 위해서 언론 플레이 한게 아닌가 의심되서요.

    • 알약(Alyac) 2017.11.16 11:17 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다.
      우려하시는 바는 충분히 전달되었으나, 악의적인 파일의 발견 즉시 신속하게 대응하는 것이 보안업체의 필수 프로세스이며 이는 곧 제 1원칙 피해 예방을 위한 것입니다.
      아시다시피 바이러스 토탈은 정상/악성 등을 포함한 수많은 파일들이 업로드되는 곳으로, 악성 행위를 하는 파일 발견 시 제작자를 일일히 찾아 목적을 묻고 대응하는 일은 불가능합니다.
      만약 확인이 가능하더라도, 실제 악의적인 목적으로 제작된 파일일 경우 무엇보다 중요한 신속히 대응해야할 골든타임을 놓칠 수 있어 비효율적일 것입니다.
      또한 제작자의 의도와 관계 없이 바이러스 토탈에 업로드 된 상태에서는 해당 파일이 다양한 연계 서비스를 통해 전 세계 보안 및 바이러스토탈 서비스를 받는 곳에 공유가 가능하다는 점도 참고 부탁 드리겠습니다.
      안전한 보안 환경을 위해 앞장서는 이스트시큐리티가 되겠습니다. 감사합니다.

    • dnd93jrng3rooekrncnfidkcn 2017.11.16 13:17 신고  수정/삭제

      바이러스 토탈에 업로드 된 파일이 어떻게 전세계 전파가 된다는것인가요? 제가 알기로 인텔리전스는 엄격하게 선정된 업계관계자만이 접근할 수 있는데 그럼 업계 관계자가 나쁜 마음을 품고 전세계에 전파하나요?

      그리고 골든타임하고 언론플레이하는 것 하고는 졀로 관계없어보인다는게 제 생각인데요.
      골든타임 생각하셨으면 대응만 하시면 되지 언론 플레이 할 이유는 없다고 생각되는데요.
      랜섬웨어가 하루이틀 터지는것도 아닐텐데요.

    • 알약(Alyac) 2017.11.16 13:28 신고  수정/삭제

      이스트시큐리티입니다.
      동 건 관련 당사 주도로 언론을 조장하는 등의 활동은 없었음을 알려드립니다.
      감사합니다.

  6. just 2017.11.16 14:57 신고  수정/삭제  댓글쓰기

    ...흠 도대체 누가 퍼트렸는지 원...;;;ㅜ.ㅜ

  7. TUNS 2017.11.24 19:57 신고  수정/삭제  댓글쓰기

    진짜 알약 어이 없네요 ㅋㅋ 대단하십니다
    의견 넣었는데 삭제를ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

    • 알약(Alyac) 2017.11.27 09:25 신고  수정/삭제

      안녕하세요. 이스트시큐리티입니다. 블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글, 인신공격성 콘텐츠, 근거없는 악의적인 댓글에 대해서는 삭제 조치를 취하고 있습니다. 또한 이 같은 행위가 지속적임이 확인될 경우, 자사 정책에 의거한 추가적인 대응을 취할 수 있음을 참고 바랍니다.

  8. kkiruk10 2017.11.25 18:51 신고  수정/삭제  댓글쓰기

    이 랜섬웨어 제작자인 Skydragon7845님은 14살이라는 어린 나이에, 극단적인 선택을 시도할려 하고 있습니다, 물론 랜섬웨어(악성 프로그램)을 제작하여 배포하는 건 법적으로 불법이 맞지만, 과연 이 친구가 극단적인 선택을 한다면, 이 학생의 부모님은 어떠실까요..

  9. 2017.12.03 21:32  수정/삭제  댓글쓰기

    비밀댓글입니다

  10. sky 2017.12.04 21:07 신고  수정/삭제  댓글쓰기

    제작자는 공부목적으로 만든거며 배포할 상각이 없었다고 한다. 자신은 자신의바이러스를 다운받지 못할걸로 알고있었으며, 서버에 키를 저장하지않앟다고 한다.
    Kill switch를 작동하며 choda100님은 실험을 하였지많 실행이 되지 않았다고 한다 보구툴도 제작되며 하늘드레곤님은 2018년1월1일까지 대부분 활동 하지않겠다고 한다. 그러니 그렇게까지는 오해하지 말자.

  11. Nafe 2017.12.09 11:24 신고  수정/삭제  댓글쓰기

    ..

티스토리 방명록 작성
name password homepage