포스팅 내용

악성코드 분석 리포트

WhatsApp 아이콘으로 위장한 랜섬웨어 유포 주의


안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.


WhatsApp 아이콘으로 위장한 악성 파일이 유포되고 있어 사용자들의 주의를 당부 드립니다.


[그림 1] WhatsApp 위장 아이콘


지속적으로 다양한 변종이 발견된 해당 랜섬웨어의 이전 버전에서는 파일을 실행하면 아래와 같은 화면을 띄우

‘Click here 7 day free trial’ 버튼만 활성화 한 후 사용자의 클릭을 유도 했습니다.

[그림 2] 이전 버전의 사용자 클릭 유도 화면


하지만 최근 발견된 해당 악성 코드는 사용자가 파일을 실행하면 즉시 파일 암호화를 진행합니다.


암호화 대상 경로와 확장자는 아래와 같습니다.


[그림 3] 암호화 대상 경로



 .wmv, .mp3, .mp4, .ini, .jpg, .png, .xls, .xlsx, .xml, .pdb, .dat, .bin, .html, .mov, .avi, .mpeg, .wma, .gif, .bmp, .jpeg, .pdf, .tiff, .docx, .pptx, .zip, .rar, .rtf, .jar, .ppt, .sys, .DLL, .exe


[1] 암호화 대상 확장자


랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본 파일에 ‘bitcoin’ 확장명이 추가됩니다.


그리고 랜섬노트를 생성하여 사용자에게 100 달러 가치의 비트코인을 요구합니다.


[그림 4] 암호화 완료 화면


이전 지갑 주소

 최근 지갑 주소

 14KsoHrnkqFKMCUkAAd5mU7BuSQ3XpdiPN

 1DpYkoLa8wsadwgHs4ctkZMA83qMKHw5zD

 이전 사용한 이메일 주소

 최근 사용한 이메일 주소

 MildredRLewis@teleworm.us

 MildredRLewis@teleworm.us

[2] 이전과 최근 랜섬노트 정보 비교


해당 랜섬웨어는 교육용 목적으로 만든 오픈소스 프로젝트 히든티어(Hidden Tear) 기반 랜섬웨어 입니다


그러나 이러한 소스코드가 실제 범죄에 활용되고 있기 때문에 제작 및 유포하는 것에 각별한 주의가 필요합니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비해 랜섬웨어 보안 모니터링을 강화하고 있습니다.




티스토리 방명록 작성
name password homepage