상세 컨텐츠

본문 제목

오픈소스 '교육용' 코드를 악용하는 Magic 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2016. 1. 28. 16:09

본문

오픈소스 '교육용' 코드를 악용하는 Magic 랜섬웨어 발견

New Magic ransomware abuses open-source 'educational' code


교육용으로 만들어진 오픈소스를 기반으로 하는 'Magic'이 발견되었습니다. 


사람들에게 랜섬웨어에 대해 가르치키 위해서 만들어진 오픈소스이나, 숙련되지 않은 사이버 범죄자들이 사용하기 쉬운 풀 랜섬웨어 툴킷이 함께 제공하는 eda2키트를 기반으로 하고 있습니다. 


Magic은 AES 암호화를 통해 데이터를 암호화 하며, '.magic' 확장자를 추가하고 몸값으로 1비트코인을 요구합니다. 하지만 아직까지 실제로 돈을 지불한 사례는 없습니다. 이는 개발자가 해킹 된 터미널 서비스나 원격 데스크탑을 통하여 수동으로 배포하고 있기 때문으로 추정합니다. 


Magic은 감염된 컴퓨터에서 문자열 '$'를 포함하는 파일이거나,  C:\Windows나 C:\program경로를 제외한 모든 문서 파일을 스캐닝 합니다. 


Magic랜섬웨어의 외형은 트렌드 마이크로가 최근 발견한 CRYPTEAR.B랜섬웨어와 유사합니다. 이 역시 비슷한 오픈소스 교육용 코드인 Hidden Tear을 기반으로 합니다. 


이러한 사례로 미루어 볼 때, 범죄자들이 신속히 사용할 수 있으며 쉽게 구할 수 있는 코드를 이용한 '저렴하고 파급력이 높은' 랜섬웨어가 증가하는 추세라고 볼 수 있습니다. 또한 이러한 랜섬웨어들은 대부분 C&C 서버를 무료 웹사이트 서비스를 통해 운영하는데, 그 이유는 서버를 없애버리기가 비교적 수월하기 때문입니다. 따라서 피해자는 키를 복구할 기회조차 잃어버리게 될 수도 있습니다. 


Magic 랜섬웨어를 발견한 Bleeping Computer의 Lawrence Abrams는 C&C 서버가 호스팅 회사에 의해 제거된 것을 확인하였으며, 호스팅 회사에 연락하여 랜섬웨어 감염자들을 위한 복호화 툴을 만들기 위한 데이터데이스의 복사본을 구할 수 있는지에 대해 문의해 둔 상태라고 밝혔습니다.


현재 해당 악성코드에 대하여 알약에서는  Trojan.Ransom.Filecoder로 탐지하고 있습니다.

참고 : 


관련글 더보기

댓글 영역