해커와 온라인 채팅이 가능(?)한 CryptON 랜섬웨어 국내 피해 보고

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.

 

과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다.

 

해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다.

[그림 1] 사용자계정_body.exe 파일 생성

암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, UA - 우크라이나)

[그림 2] 사용자 언어 환경 확인

암호화 제외 문자열은 아래와 같습니다. 하기 문자열을 제외하는 이유는 시스템 오류를 피하기 위함과 불필요한 파일을 암호화 하지 않으려는 의도로 보입니다.

암호화 제외 문자열

\windows\, \programdata\, nvidia, intel, .sys, .dll, .lnk, boot.ini, ntdetect.com, bootfont.bin, ntldr, bootmgr, bootnxt, bootsect.bak, ntuser.dat, pdoxusrs.net, internet explorer, mozilla firefox, opera, google

[표 1] 암호화 제외 문자열

감염이 완료되면 바탕 화면을 바꾸고 기존 파일명 뒤에 ‘[랜덤10자리숫자].ransomed@india.com’ 이라는 확장자가 추가됩니다.

[그림 3] 바탕 화면 교체된 화면

[그림 4] [랜덤10자리숫자].ransomed@india.com 확장자 추가된 화면

 

랜섬노트를 보면 CryptON decryptor의 구매를 촉구하고 있으며, 궁금한 사항이 있으면 이메일, 채팅 등 문의 가능한 접속 주소들이 나열되어 있습니다.

[그림 5] 랜섬노트 화면

 

아래는 랜섬노트의 지시 사항대로 접속한 화면 입니다. 랜섬노트에 나와있는 ID를 입력하면 채팅이 가능합니다.

[그림 6] 채팅 접속 로그인 화면

 

채팅을 시도한 화면입니다. 복구 비용으로 500달러 상당의 비트코인이나 이더리움을 요구하고 있습니다. 참고로 질문을 하면 한참이 지나서 답변이 오는 것으로 보아 자동화는 아닌 것으로 추정할 수 있습니다. 

[그림 7] 채팅 시도 화면

 

랜섬웨어에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 이메일이나 URL은 실행하지 않아야 합니다. 또한 OS와 애플리케이션을 항상 최신 업데이트 버전으로 유지해야 하고, 중요 자료는 외부 매체에 저장하는 습관을 들여야 합니다. 

  

현재 알약에서는 해당 랜섬웨어를 ‘Trojan.Ransom.Crypton’으로 진단하고 있습니다. 

ESRC에서는 한국인터넷진흥원(KISA)과 긴밀히 협력해 국내에서 해당 서버로의 접속을 차단해 랜섬웨어 전파를 최소화할 수 있도록 진행 중입니다.

▶ 갠드크랩(GandCrab) 랜섬웨어 CVE-2017-8570 취약점으로 유포 

▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의

▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의

▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의