JavaScript 기반의 랜섬웨어 발견!

JavaScript 기반의 랜섬웨어 발견!

Meet Ransom32: The first JavaScript ransomware

2016년 처음 JavaScript 기반의 랜섬웨어가 발견되었습니다. 

Emisoft의 Fabian Wosar은 블로그를 통하여 랜섬웨어를 내포한 NW.js 어플리케이션 페이지가 자체 압축해제(self-extracting) WinRAR 압축파일 내에 포함되어 있다고 밝혔습니다.

NW.js는 어플리케이션 개발을 위한 JavaScript 프레임워크로 Node.js 및 Chromium을 기반으로 합니다. 이는 정식 프레임워크로 서명 기반의 탐지로직으로는 찾아내기 쉽지 않습니다. 

이 JavaScript 기반의 랜섬웨어는 Ransom32로 명명되었으며, 현재까지는 Windows 환경에서만 볼 수 있습니다. 하지만 이론적으로 NW.js가 Mac OS X나 Linux용으로도 패키징 될 수 있기 때문에 동작하는 OS의 대상이 늘어날 가능성도 있습니다. 

Ransom32가 일단 설치 및 실행되면, Tor를 통하여 C&C서버로 연결되며, 다음과 같은 확장자를 가진 파일들에 대하여 암호화를 시도합니다. 

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

또한 감염 후에는 아래와 같은 랜섬 메세지가 표시됩니다. 감염자들이 암호화 된 파일을 복구시키기 위해서는  제시 된 비트코인 주소로 비트코인을 지불해야만 합니다. 

JavaScript 기반의 악성코드가 메일에 첨부된 JS파일을 통하여 최근 많이 유포되고 있고 이를 통해 랜섬웨어를 포함한 다양한 형태의 공격이 이뤄지고 있으므로, 사용자 여러분들께서는 출처 불분명한 이메일의 첨부파일은 실행하지 말아야 합니다.

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Filecoder로 탐지중에 있으며, 이번에 추가된 랜섬웨어 차단기능에서도 효과적으로 차단중에 있습니다. 

참고 : 

http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/