포스팅 내용

국내외 보안동향

[해외보안동향] Tox, 맞춤형 랜섬웨어 무료 제작 사이트 등장

Tox, 맞춤형 랜섬웨어 무료 제작 사이트 등장


랜섬웨어 파일을 무료로 배포하는 웹사이트가 등장했습니다. Tox 라고 불리는 해당 웹사이트에서는 기술적 지식이 없는 사용자들도 랜섬웨어를 다운로드받아 다른 사용자들에게 배포할 수 있도록 랜섬웨어 파일을 무료로 제공하고 있습니다.


해당 사이트에서 랜섬웨어 파일을 생성하는 방법은 매우 간단합니다. 공격자는 Tox 웹사이트에 회원가입을 합니다. 이후 랜섬웨어 감염 시, 사용자들에게 표시되는 메시지 문구와 파일을 복호화하기 위해 지불해야 하는 금액을 설정합니다. '생성(Create)' 버튼을 누르면 입력한 조건에 맞는 랜섬웨어 파일이 자동으로 생성됩니다.



이후 아래와 같이 'ransom_설정해둔 파일복호화금액_dol_파일 해시.scr' 파일명으로 랜섬웨어 파일이 생성되며, 공격자는 사용자들이 속을 만한 이름으로 파일명을 변경할 수 있습니다.



공격자는 이메일 첨부파일 등의 방식을 통해 자유롭게 악성파일을 배포한 후, 사용자들이 랜섬웨어에 감염되기만을 기다립니다. 

  

 

사용자가 해당 랜섬웨어 파일에 감염된 경우, 위와 같은 메시지 창이 표시되며 파일을 복호화하기 위해서는 공격자가 사전에 설정해둔 금액을 지불해야 합니다. 만일 이렇게 벌어들인 금액이 $100라면, Tox 제작자가 해당 금액의 20%인 $20을 수수료로 가져가고 나머지 $80은 공격자가 가져가는 방식으로 수익을 배분하고 있습니다. 



악성 파일은 Tor 프로세스를 자식프로세스로 생성하여 익명의 네트워크 통신을 수행합니다. 



성공적으로 공격이 이루어진 경우에는 공격자 계정의 Viruses 웹 대시보드 화면에서 얼마나 많은 사용자가 감염되었는지, 얼마를 벌어들였는지를 확인할 수 있습니다.


이러한 랜섬웨어 공격을 예방하기 위해서는 출처가 불분명한 메일의 첨부파일은 함부로 열어보지 말아야 하며, 중요한 파일은 백업해 두는 습관을 길러야 합니다. 더불어 드라이브 바이 다운로드 공격을 통해 랜섬웨어에 감염될 우려가 있으므로 사용 중인 소프트웨어를 최신 버전으로 업데이트해주시길 부탁드립니다.


알약에서는 해당 악성코드를 Gen:Variant.Kazy.621112로 탐지를 하고 있으며, 변종이 발견되는 대로 신속히 업데이트할 예정입니다. 



참고:

http://thehackernews.com/2015/05/ransomware-creator.html



티스토리 방명록 작성
name password homepage