상세 컨텐츠

본문 제목

가짜 랜섬웨어 복호화 툴, 피해자 파일 2번 암호화해

국내외 보안동향

by 알약(Alyac) 2020. 6. 8. 08:49

본문

Fake ransomware decryptor double-encrypts desperate victims' files


이미 피해를 입어 무료 랜섬웨어 복호화 툴을 찾는 사용자들을 노리는 가짜 STOP(Djvu) 랜섬웨어 복호화 툴이 배포되고 있는 것으로 나타났습니다.


사용자의 파일을 무료로 복호화해 주는 대신 더욱 심각한 랜섬웨어에 감염시킵니다.


Maze, REvil, Netwalker, DoppelPaymer와 같은 랜섬웨어는 가치가 높은 타깃을 노려 언론의 주목을 받았습니다. 


하지만 STOP(Djvu)는 매일 이들을 모두 합친 것보다 더 많은 사용자를 감염시키고 있습니다.


STOP 랜섬웨어는 랜섬웨어 식별 서비스인 ID-Ransomware에 매일 600건 이상 제보되고 있으며, 2019년 가장 활발히 배포된 랜섬웨어입니다.



<ID-Ransomware STOP Djvu 랜섬웨어 등록 건수>

<이미지 출처: https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/>



Emsisoft와 Michael Gillespie는 구 버전의 STOP(Djvu) 변종에 대한 무료 복호화 툴을 공개했지만, 새 버전은 무료로 복호화될 수 없습니다.


이쯤 되면 이 랜섬웨어가 활발히 배포되는 것에 비해 왜 많은 주목을 받지 못하는지 의아할 것입니다.


이 랜섬웨어가 덜 알려진 이유는 단순히 소프트웨어 크랙으로 위장한 애드웨어 번들을 통해 대부분 개인 사용자를 감염시키기 때문입니다.


소프트웨어 크랙을 다운로드 및 설치하는 것은 용납될 수 없지만 많은 이들은 복호화 툴 값으로 500 달러를 지불할 여유가 없었던 것으로 보입니다.


이미 암호화된 데이터를 다른 랜섬웨어로 두 번 암호화한다는 것은 이미 쓰러진 누군가를 걷어 차는 것과 같습니다.



피해자의 데이터를 두 번 암호화하는 Zorab


Michael Gillespie는 암호화된 피해자의 파일을 한 번 더 암호화하는 새로운 랜섬웨어인 Zorab을 발견했습니다.


Zorab 랜섬웨어 제작자들은 가짜 STOP(Djvu) 복호화툴을 공개했습니다. 


이 툴은 파일을 무료로 복호화 해주지 않을뿐더러 이미 다른 랜섬웨어로 암호화된 피해자의 파일을 두 번 암호화합니다.

 


<가짜 STOP Djvu 복호화 툴>

<이미지 출처: https://twitter.com/demonslay335/status/1268908281151586304>



절박한 사용자가 이 가짜 복호화 툴에 그들의 정보를 입력하고 ‘Start Scan’ 버튼을 누르면 ‘crab.exe’라는 다른 실행파일이 추출되고 %Temp% 폴더에 저장합니다.



<crab.exe 프로그램 추출 및 실행>

<이미지 출처: https://twitter.com/demonslay335/status/1268908281151586304/photo/2>



Crab.exe는 또 다른 랜섬웨어인 Zorab으로, 컴퓨터 내 데이터 암호화를 시작합니다. 이 랜섬웨어는 파일을 암호화한 후 .ZRB 확장자를 붙입니다.



<Zorab으로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/>



이 랜섬웨어는 파일 암호화를 수행한 각 폴더에 '--DECRYPT--ZORAB.txt.ZRB'라는 이름의 랜섬노트를 생성합니다. 


이 노트는 돈을 지불하기 위한 지침을 받기 위해 운영자에게 연락할 수 있는 방법을 포함하고 있습니다.



<Zorab 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/>



이 랜섬웨어는 현재 무료 복호화 툴을 생성하기 위한 취약점을 찾기 위해 분석이 진행되고 있습니다. 


이 랜섬웨어의 피해를 입었을 경우 연구원들의 분석이 완료되기 전까지 돈을 지불하지 말 것을 권장합니다.


현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Ransom.Jigsaw'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/

관련글 더보기

댓글 영역