새로운 랜섬웨어 'Bart' 주의!

새로운 'Bart'랜섬웨어 등장!

Doh! New "Bart" Ransomware from Threat Actors Spreading Dridex and Locky

최근 새로운 랜섬웨어인 'Bart'랜섬웨어가 발견되었습니다. 이 랜섬웨어는 Locky와 Dridex의 제작자가 개발한 것으로 보이며, 랜섬머니로 $2000을 요구합니다. 

Bart랜섬웨어는 C&C서버에 연결 하기도 전에 사용자들의 파일을 암호화 시킵니다. 

이 랜섬웨어는 지난주에 발견되었으며, 역시 자바스크립트 코드가 포함된 zip파일이 첨부된 스팸메일 형식으로 유포됩니다. 

Bart랜섬웨어는 영어, 이태리어, 프랑스어, 독일어를 지원하며, 러시아, 우크라이아, 벨라루스 사용자들을 피해를 입지 않도록 설계되었습니다. 

현재까지는 대부분 미국 사용자들을 대상으로 하였지만, 곧 다른 국가의 사용자들도 타겟이 될 것으로 보입니다. 

악성 JvaScript 파일이 실행된 후 RocketLoader라는 프로그램을 실행시키며, 이 프로그램은 Bart악성코드 다운로드 및 설치를 합니다. 

Bart는 로컬 생성 AES로 파일을 암호화 시키는 대부분의 랜섬웨어와는 달리, 공개키 방식을 사용하지 않습니다. 

이 랜섬웨어는 음악, 사진, 비디오, 압축파일, 문서, 데이터베이스 등 특정 확장자의 파일을 스캔해 비밀번호가 걸린 ZIP 파일 형태로 잠급니다. 해당 ZIP파일의 형태는 Original_name.extension.bart.zip와 같습니다. 

ZIP 포멧은 그 자체로 AES 함호화를 지원하기 때문에 랜섬웨어 제작자가 에러를 잘 일으키는 AES를 직접 수행할 필요가 없습니다. 

Bart가 완벽한 랜섬웨어는 아니지만 현재까지 감염 파일의 복구방법이 존재하지 않습니다. 

Bart랜섬웨어는 다른 랜섬웨어들 보다는 비교적 비싼 3비트코인을 요구합니다. 

지불방법은 Locky 랜섬웨어와 거의 동일합니다. 

Bart랜섬웨어는 Locky랜섬웨어와 일정부분의 코드를 공유하고 있는 것으로 밝혀졌습니다. 

Bart랜섬웨어는 C&C서버와의 어떠한 통신 메커니즘도 포함하고 있지 않으며, 대신 감염기기에 대한 필요 정보를 URL의  'id'파라미터를 통해 전달하고 있는 것으로 확인되었습니다. 또한 이 악성코드는 가상화를 위해 오픈소스인 WProtect를 사용하는 것으로 나타났습니다.

이 랜섬웨어는 파일 암호화를 위한 C&C 서버 연결이 필요없기 때문에, 이런 트래픽을 필터링 하는 기업 방화벽 안쪽에서도 파일암호화가 가능할 수 있습니다. 

따라서 기업들은 이메일 게이트웨이에서 압축된 실행파일 자체를 블록하는 룰을 사용하여 Bart랜섬웨어를 차단해야 합니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.JS.Downloader.Agent, Trojan.Ransom.Bart로 탐지하고 있으며, 랜섬웨어 차단기능을 통해서도 차단하실 수 있습니다.

출처 : 

https://www.proofpoint.com/us/threat-insight/post/New-Bart-Ransomware-from-Threat-Actors-Spreading-Dridex-and-Locky