상세 컨텐츠

본문 제목

마이크로소프트 활성화 창으로 속이는 신종 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2016. 8. 8. 16:08

본문

마이크로소프트 활성화 창으로 속이는 신종 랜섬웨어 발견

New ransomware mimics Microsoft activation window


시만텍이 소셜 엔지니어링 기법을 사용하는 새로운 랜섬웨어 변종을 발견했습니다. 해당 랜섬웨어는 사용자에게 마이크로소프트 측에서 공식적으로 윈도우를 '재활성화'하기 위해 무료 전화번호로 전화하라고 하는 것처럼 현혹시킵니다. 윈도우를 재활성화하라는 것은 컴퓨터의 잠금을 해제하라는 의미입니다. 이는 악명 높은 기술 지원 사기와 랜섬 브라우저 잠금 사기의 한 갈래입니다.


시만텍이 Trojan.Ransomlock.AT라 탐지하는 이 위협(freedownloadmanager.exe)은 주로 미국에서 배포되고 있다는 사실이 밝혀졌습니다. 또한 제한적인 공격에서 사용되는 것이 목격되었습니다. 이는 마이크로소프트의 특징 및 느낌을 모방한 프롬프트를 사용하며, 아래의 메시지를 표시합니다.

 

<이미지 출처 : http://www.symantec.com/connect/blogs/new-ransomware-mimics-microsoft-activation-window>


“Your Windows Licence has Expired, Please get a new one by calling on 1-888-303-5121 from Store Representative”

“당신의 윈도우 라이선스가 만료되었습니다. 1-888-303-5121로 전화해 새 라이선스를 받으세요.”


이 락 스크린에는 팀뷰어와 Logmein으로의 링크도 포함되어 있습니다. 이 링크들은 피해자에게 지원에 대한 전문적인 느낌을 주기 위해 일부러 조작한 것으로 보입니다. 링크 반대편의 상담사는 피해자가 컴퓨터의 잠금을 해제할 수 있도록 지원할 것으로 추정됩니다.


더 많은 정보를 얻기 위해 해당 수신자 부담 전화번호로 전화를 걸어 30분을 기다렸지만, 지연에 대한 사과와 상담 전화를 예약하라는 답변만을 받을 수 있었습니다. 그리고 운이 좋게도, 추가 분석 결과 악성코드의 제작자가 잠금을 해제하는 코드를 어떠한 난독화 기술을 사용하지 않은 채 확인할 수 있도록 남겨둔 것을 발견했습니다.


컴퓨터의 잠금을 해제하는 코드는 다음과 같습니다: 8716098676542789


 <이미지 출처 : http://www.symantec.com/connect/blogs/new-ransomware-mimics-microsoft-activation-window>


직감이 좋은 분이라면, 웹에서 해당 수신자 부담 전화번호 검색을 시도할 것입니다. 그러나 공격자들은 이러한 행동을 이미 예상하고 있었습니다. 웹에서 1-888-303-5121 번호를 검색하자, 수십개의 사이트가 검색되었습니다. 이들은 악성코드 제작자들이나 협력자들이 작성한 것으로 보이며, 악성코드를 삭제하는 것을 도와주는 사이트인 것처럼 꾸몄습니다. 이 사이트들은 피해자에게 악성코드 제거를 위한 특정 단계를 따라하라고 언급하고 있습니다.

 

<이미지 출처 : http://www.symantec.com/connect/blogs/new-ransomware-mimics-microsoft-activation-window>


내용을 살펴보면, 프로그램을 제거하는 것에 전혀 도움되지 않는 말장난만을 포함하고 있습니다.

 

멀웨어 제거법을 추천하는 가짜 웹사이트

<이미지 출처 : http://www.symantec.com/connect/blogs/new-ransomware-mimics-microsoft-activation-window>


이러한 위협을 살펴본 결과, 기존의 기술 지원 사기가 더욱 진화했다는 것을 알 수 있습니다. 공격자들이 수익을 극대화하기 위해 랜섬웨어와 조작된 검색 결과를 조합했다는 점에서 다른 일반적인 랜섬웨어들과 차별성을 보이고 있습니다.


한편, 알약에서는 해당 악성코드를 Trojan.Ransom.TechSupportScam로 탐지하고 있습니다.




출처 :

http://www.symantec.com/connect/blogs/new-ransomware-mimics-microsoft-activation-window


관련글 더보기

댓글 영역