상세 컨텐츠

본문 제목

랜섬웨어이지만 랜섬웨어가 아닌 GermanWiper 주의

국내외 보안동향

by 알약(Alyac) 2019. 8. 6. 17:00

본문

Beware of GermanWiper – the ransomware that is not ransomware


데이터 와이퍼 악성코드가 피해자의 중요한 파일을 삭제하고, 피해자들에게 파일 복구를 위한 랜섬머니를 요구하고 있습니다.


하지만, 이 랜섬웨어 캠페인은 거짓이며 운영자들은 데이터를 복구해줄 의도가 없는 것으로 나타났습니다.


지난주, 독일어 사용 지역에 확산된 한 랜섬웨어 캠페인이 감염시킨 모든 엔드포인트의 데이터를 삭제한다는 제보가 잇따랐습니다.


하지만, 이 랜섬웨어의 공격을 받은 지역은 독일어 사용 지역만이 아니었습니다.



GermanWiper란?


보통 와이퍼(wiper) 멀웨어는 사용자의 데이터를 훼손하는 악성코드로 유명한데, 이번에 발견된 와이퍼 멀웨어의 경우 독일어 사용지역에서 주로 발견되어 지역명을 따 Germanwiper로 명명되었습니다.


이번에 발견된 GermanWiper는 데이터를 암호화하는 대신 '0'으로 덮어쓰기 해 쓸모없게 만듭니다. 따라서 랜섬웨어보다는 '와이퍼(wiper)' 타입으로 간주되었습니다.


이러한 유형의 악성코드는 제작자들의 이익을 위해 설계된 것이 아니라, 피해자에게 혼란을 주고 경제적 피해를 주기 위해 만들어집니다. 


하지만, 이번에 발견된 캠페인의 운영자들은 데이터를 쓸모없게 만들어버린 후 랜섬머니를 요구했습니다.


최초의 감염 사례는 지난 7월 30일 처음으로 제보되었습니다. 


GermanWiper는 악성 스팸 캠페인을 통해 확산되는데, 이메일의 송신자는 Lena Kretschmer라는 구직자로 위장하고 있었습니다. 


이메일에 첨부된 아카이브 파일에는 실제 악성코드가 포함되어 있었습니다. 


이 아카이브의 압축을 해제하는 것으로 악성코드에 감염되지는 않으나, 압축 파일 안에 파일을 실행하면 악성코드에 감염됩니다.


해당 아카이브 내 PDF로 위장한 파일은 실제로는 PowerShell 명령을 실행시키고 악성코드를 다운로드하는 LNK 바로가기 파일입니다. 


일단 악성코드가 피해자 컴퓨터에 침입을 성공하면, 자동으로 로컬 머신에서 실행되며 사용자의 데이터를 삭제하기 시작합니다. 이때 컴퓨터를 계속 작동시키기 위해 시스템 파일들은 제외합니다.


와이퍼가 데이터 삭제를 모두 끝내면, 독일어로 작성된 랜섬노트가 자동으로 표시됩니다. 


해당 노트에는 피해자들의 파일이 암호화되었으며, 이를 해독할 수 있는 유일한 방법은 특정 지갑 주소로 0.15038835 비트코인을 보내는 것이라는 메시지가 포함되어 있습니다. 


하지만 GermanWiper는 단순히 데이터를 삭제하도록 설계되었습니다. 따라서, GermanWiper에 감염된 피해자들은 랜섬머니를 지불해도 데이터가 복구되지 않습니다.



독일 외 다른 피해 국가들도 존재해


Bitdefender는 독일이 아닌 다른 국가에서도 GermanWiper의 존재를 희미하게나마 발견했습니다. 


아래 그래프에서 볼 수 있듯, GermanWiper가 발견된 국가는 중국, 대만, 스페인, 아일랜드, 헝가리, 미국 및 영국 등입니다.



<이미지 출처: https://securityboulevard.com/2019/08/beware-of-germanwiper-the-ransomware-that-is-not-ransomware/>



공격자들은 지금까지 얼마나 많은 돈을 벌었나


이 악성코드는 base64로 인코딩된 비트코인 지갑 주소 36개를 포함하고 있었습니다. 


이는 피해자마다 각각 다른 비트코인 지갑 주소를 선택하며, Blockchain 데이터베이스에서 36개의 가상화폐 지갑 주소를 모두를 찾아본 결과, 대부분의 잔액이 0인 것으로 나타났습니다.


하지만 3개의 가상화폐 지갑에서는 랜섬머니가 입금되어 총 $5,300 상당의 비트코인이 발견되었습니다.



와이퍼 랜섬웨어로부터 보호받는 방법


GermanWiper는 타깃 컴퓨터의 데이터를 파괴해버리기 때문에, 피해자들은 공격자들의 술수에 넘어가 돈을 지불하지 않기를 바랍니다. 


랜섬웨어에 대비하는 최선의 방법은 정기적인 오프라인 백업을 유지하는 것입니다.


GermanWiper는 스팸 캠페인을 통해 확산됩니다. 


회사의 보안 담당자들은 임직원들에게 현재 진행 중인 악성 캠페인에 대해 알리는 것이 좋습니다. 


직원들은 정기적으로 사이버 보안 교육을 받고, 의심스러운 문서를 절대 다운로드 하지 않도록 해야합니다.


현재 알약에서는 해당 악성코드에 대해 'Heur.BZC.YAX.Pantera.41.04439763, Trojan.Script.Agent, Trojan.Ransom.Filecoder' 으로 탐지 중에 있습니다.







출처:

https://www.bleepingcomputer.com/news/security/germanwiper-ransomware-erases-data-still-asks-for-ransom/

https://www.zdnet.com/article/germanwiper-ransomware-hits-germany-hard-destroys-files-asks-for-ransom/

https://securityaffairs.co/wordpress/89452/malware/germanwiper-campaign.html

관련글 더보기

댓글 영역