상세 컨텐츠

본문 제목

중복 파일을 삭제하는 첫 번째 랜섬웨어인 vxCrypter 발견

국내외 보안동향

by 알약(Alyac) 2019. 4. 2. 11:02

본문

vxCrypter Is the First Ransomware to Delete Duplicate Files


피해자의 데이터를 암호화할 뿐 아니라, 중복 파일을 삭제해 컴퓨터를 깔끔하게 정리하는 최초의 랜섬웨어인 vxCryptor가 발견되었습니다.


지난주 발견된 이 새로운 랜섬웨어는 현재 개발 단계인 것으로 보입니다. 


<이미지 출처: https://www.bleepingcomputer.com/news/security/vxcrypter-is-the-first-ransomware-to-delete-duplicate-files/>


이는 .NET 기반의 랜섬웨어이며, 아직까지 완성된 적이 없는 'vxLock'라는 오래된 랜섬웨어를 기반으로 만들어졌습니다.


vxLock 랜섬웨어란?


AES + RSA 알고리즘을 이용하여 사용자 데이터를 암호화하는 랜섬웨어로 vxCrypt로도 불린다. 암호화가 완료되면 .vxLock 확장자가 추가되며, 아직 개발 중인 랜섬웨어이다.


이 랜섬웨어를 발견한 연구원은, 이 랜섬웨어를 처음 테스트했을 때 한 폴더에 있는 파일을 하나만 남기고 모두 삭제해 버린다는 사실을 발견했습니다. 


<이미지 출처: https://www.bleepingcomputer.com/news/security/vxcrypter-is-the-first-ransomware-to-delete-duplicate-files/>


이 랜섬웨어는 아직까지 개발 단계에 있기 때문에, 그는 이 현상을 암호화 루틴의 버그일 것으로 추정했습니다.


또한, 랜섬웨어가 암호화된 각 파일의 SHA256 해시를 계속 추적하고 있다는 것이 발견되었습니다. 


랜섬웨어가 다른 파일을 암호화한 것처럼 같은 SHA256 해시를 만나면 암호를 해독하는 대신 파일을 삭제합니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/vxcrypter-is-the-first-ransomware-to-delete-duplicate-files/>


이 랜섬웨어는 아래의 파일 확장자에 대해서만 중복 파일을 삭제합니다.

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py, .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif


.exe, .dll 및 다른 파일들의 경우 중복 파일은 삭제되지 않습니다.


이 랜섬웨어가 중복 파일을 삭제하는 이유는 알려지지 않았지만, 컴퓨터 암호화 스피드를 증가시키기 위한 것으로 추측됩니다. 


공격자들은 악성코드의 성능을 향상시키기 위해 지속적으로 코드를 개선하고 있기 때문에, 사용자들은 더욱 악성코드를 경계해야 합니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.VxLock으로 탐지 중에 있습니다.



출처:

https://www.bleepingcomputer.com/news/security/vxcrypter-is-the-first-ransomware-to-delete-duplicate-files/

https://id-ransomware.blogspot.com/2017/01/vxlock-ransomware.html



관련글 더보기

댓글 영역