말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인

말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인

안녕하세요. 알약입니다.

국내 불특정 다수의 기업 이용자를 대상으로 JS 스크립트 파일을 첨부해 유포했던 Locky(락키) 랜섬웨어 유포 방식과 유사하게 JSE 스크립트 파일을 이용한 Cerber(케르베르) 랜섬웨어 변종이 국내에 새롭게 전파되고 있습니다. 이에 각별한 주의와 보안 강화를 당부 드립니다. 물론 JS파일을 통한 유포도 계속 이어지고 있는 상태입니다.

▲ 이메일 첨부파일로 유입된 랜섬웨어 화면

국내에 새로 유입된 ‘Cerber’ 랜섬웨어 변종은 이메일에 압축파일을 첨부하며, 압축내부에는 JSE 스크립트가 포함되어 있습니다. 이용자가 압축을 해제하고 무심코 JSE 파일을 클릭하면 악의적인 스크립트 명령을 통해 해외 서버에서 Cerber 랜섬웨어가 은밀히 설치됩니다. 

▲ 압축 파일에 포함된 악성 JSE 스크립트 파일

해당 랜섬웨어는 감염 이후 컴퓨터에 존재하는 각종 문서, 사진, 음원 등의 자료를 암호화하는 일반적인 랜섬웨어와 동일한 악성 행위를 수행합니다.

다만, 특징적으로 '# DECRYPT MY FILES #.VBS' 파일을 생성해 실행합니다. 이 파일은 텍스트를 음성메시지로 변환하는 Windows SAPI Voices TTS(Text-To-Speech) 코드가 포함되어 있어, 스피커를 통해 당신의 문서와 사진, 데이터베이스 등이 암호화 됐다고 영어 음성으로 안내합니다.

이러한 기능 때문에 Cerber 랜섬웨어는 이른바 '말하는 랜섬웨어'라는 별칭을 가지고 있습니다.

▲ 음성 안내용 VBS 파일 내부화면

Cerber 변종은 이메일을 통해 국내에 유입된 것으로 확인되었습니다. 또한, 최근 메일 사용자들의 신뢰를 높이기 위해 해외 이메일이 아닌 국내 도메인을 발신자를 위장하여 랜섬웨어를 유포하는 정황도 발견되어 이메일에 첨부된 파일을 열어볼 때 더욱 각별히 주의해야 합니다. 또한 Cerber 랜섬웨어는 현재 12개국 언어 서비스를 지원하고 있으나, 한국어는 아직 포함되지 않았습니다.

한편 ‘알약(ALYac)’ 제품을 통해 테스트해 본 결과, 이번에 등장한 변종 Cerber 랜섬웨어를 행위기반 탐지 기능을 통해 완벽하게 사전 차단할 수 있는 것으로 확인됐습니다. 따라서, 알약 이용자들은 랜섬웨어 차단기능을 항시 활성화해두시길 당부 드립니다.

알약에서 랜섬웨어가 파일을 암호화시키는 행위는 성공적으로 차단하지만, 랜섬웨어에 의해 PC의 바탕화면이 변경되어 당황하시는 분들도 있을 것으로 예상됩니다. 이러한 상황이 발생하신다면, 다시 정상적인 바탕화면 배경으로 변경하시면 됩니다. 배경화면을 바꾸는 방법은 여기(▶http://blog.alyac.co.kr/678)를 참고하시기 바랍니다.

▲ 국내 유입된 Cerber 변종 알약 행위기반 실제 차단 화면

더불어 알약제품은 다양한 랜섬웨어의 감염을 지속적으로 차단하고 있습니다. 6월 1일부터 7월 4일까지의 통계를 분석해 보면, 최근 몇 주 간격으로 약 1만건 정도로 꾸준히 차단이 유지되고 있어, 랜섬웨어는 아직도 안심할 단계가 아닌 것을 알 수 있습니다.

▲ 알약 최신 랜섬웨어 차단 통계 집계 화면

참고로 Cerber(케르베르)는 신화 속의 동물로 '머리가 3개 달린 지옥을 지키는 개'를 뜻합니다.

현재 알약에서는 이번 랜섬웨어 악성코드를 Trojan.Ransom.Cerber, Trojan.JS.Downloader.Agent로 탐지하고 있습니다.