Aurora / Zorro 랜섬웨어, 활발히 배포 중

Aurora / Zorro Ransomware Actively Being Distributed

2018년 여름 등장한 한 랜섬웨어의 최신 버전이 최근 분발하고 있는 것으로 나타났습니다. 이 새로운 변종은 현재 Zorro 랜섬웨어라 불리고 있지만, 예전에는 Aurora 랜섬웨어라는 이름으로 불렸습니다.

이 랜섬웨어가 배포되고 있는 방식은 현재까지 밝혀지지 않았지만, 인터넷에 노출 되어 있으며 원격 데스크탑 서비스를 실행하는 컴퓨터를 해킹하여 설치 되는 것으로 추정 됩니다. 공격자들은 컴퓨터에 접근하여 랜섬웨어를 설치하기 위해 RDP 계정의 패스워드를 브루트포싱할 것입니다.

좋은 소식은 보안 연구원인 Michael Gillespie와 Francesco Muroni가 이 랜섬웨어를 무료로 복호화할 수 있는 방법을 찾았다는 것입니다. 이 랜섬웨어에 감염 되었다면 Aurora Help & Support 게시판을 방문해 도움을 요청하시기 바랍니다.

피해금액 $12,000이상에 달해

이 랜섬웨어는 모든 피해자에게 동일한 비트코인 주소를 사용해, 지금까지 얼마나 많은 자금이 모였는지 추적이 가능했습니다.

현재 Zorro 랜섬웨어 변종은 비트코인 주소 18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac를 사용하고 있으며 9월 말 이후로 105건의 거래가 있었습니다.

 

<2018년 9월 이후 비트코인 거래>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/>

이 주소는 총 2.7 비트코인을 수령해, 현재 시세로 약 $12,000상당을 벌어들였습니다.

Aurora / Zorro 랜섬웨어가 컴퓨터를 암호화 하는 방법

이 랜섬웨어는 설치 되면 피해자의 파일을 암호화 하는데 사용할 암호화 키 및 데이터를 내려받기 위해 C&C 서버에 연결할 것입니다.

이후 http://www.geoplugin.net/php.gp에 연결해 IP 주소를 기반으로 피해자의 지리적 위치를 알아냅니다. 실행 파일에서 “Russia” 문자열이 발견 된 것으로 미루어 보아, 이 랜섬웨어는 러시아에 위치한 피해자들의 컴퓨터는 암호화 하지 않을 것으로 추정 됩니다.

이후 이 랜섬웨어는 타겟 파일을 찾기 위해 컴퓨터를 스캔 후, 파일이 발견 되면 이를 암호화 할 것입니다. 현재 타겟 파일 확장자는 아래와 같습니다:

1CD, doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, class, jar, java, asp, php, jsp, brd, sch, dch, dip, vbs, ps1, bat, cmd, asm, pas, cpp, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der, 

파일을 암호화 할 때, 암호화 된 파일의 이름에 .aurora 확장자를 붙입니다. 예를 들어 test.jpg가 암호화 될 경우 이는 test.jpg.aurora로 변경 됩니다.

<암호화 된 .aurora 파일이 담긴 폴더>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/>

이 랜섬웨어의 이전 변종들도 암호화 된 파일의 확장자에 .animus, .Aurora, .desu, .ONI를 활용했습니다.

파일을 암호화 하는 동안, 이 랜섬웨어는 자신이 방문하는 각 폴더에 랜섬 노트를 생성합니다. 이 랜섬 노트들의 이름은 !-GET_MY_FILES-!.txt, #RECOVERY-PC#.txt, @_RESTORE-FILES_@.txt이며 랜섬 머니를 지불할 수 있는 방법이 담겨있습니다.

또한 피해자가 돈을 지불한 후 공격자에게 연락할 수 있는 이메일 주소인 oktropys@protonmail.com도 포함하고 있습니다.

<Aurora / Zorro의 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/>

마지막으로, 이 랜섬웨어는 %UserProfile%wall.i 파일을 생성합니다. 이 파일은 실제로는 jpg 파일로 사용자의 데스크탑 배경화면으로 설정 됩니다. 이 이미지는 랜섬 노트를 여는 방법을 포함하고 있습니다.

<Aurora / Zorro의 데스크탑 배경화면>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/>

Aurora / Zorro 랜섬웨어로부터 보호하는 법

이 랜섬웨어는 원격 데스크탑 서비스를 해킹하여 설치 되므로, 원격 데스크탑이 정상적으로 잠겨 있는지 확인하는 것이 중요합니다. 또한 원격 데스크탑 서비스를 실행하는 컴퓨터들이 인터넷에 직접적으로 연결되어 있지 않아야 합니다. 원격 데스크탑을 실행하는 컴퓨터들을 VPN 뒷 쪽에 위치시켜 사용자 네트워크의 VPN 계정을 가진 사용자만이 접속 가능하도록 해야합니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Aurora로 탐지중에 있습니다. 

출처 : 

https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/