상세 컨텐츠

본문 제목

[주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장

악성코드 분석 리포트

by 알약(Alyac) 2017. 11. 13. 10:58

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.




관련글 더보기

댓글 영역