포스팅 내용

국내외 보안동향

안전한 인터넷환경을 위한 프로젝트(?)라는 내용과 함께 크립토월 4.0 재등장

안전한 인터넷환경을 위한 프로젝트(?)라는 내용과 함께 크립토월 4.0 재등장

CryptoWall 4.0 returns to the wild, posing as good guy


악명 높은 CryptoWall 랜섬웨어 패밀리가 돌아왔습니다. 이들은 데이터를 보호하기 위한 안티 바이러스 솔루션이 “적절한지” 테스트해보겠다는 이유를 들어 파일을 암호화 시킵니다.


CryptoWall은 다음과 같이 말합니다.

"CryptoWall 프로젝트는 악의적이지 않으며, 사람들이나 그들의 데이터에게 해를 입히기 위해 만들어진 것이 아니다. 이 프로젝트는 정보 보안 분야에 교훈을 주고, 안티바이러스 제품들이 적절히 데이터를 보호하는지 증명해내기 위해 실시되었다. 모두 함께 더욱 좋은, 안전한 인터넷 환경을 만들기 위함이다."


악의적인 프로젝트가 아니라면서, CryptoWall 랜섬웨어는 감염된 사용자들에게 $700상당의 비트코인(1.83BTC)을 지불하라고 요구합니다. 연방 보고서에 따르면, CryptoWall은 2014년 4월부터 활성화 되었고 3가지 버전이 있으며 매달 1백만 달러의 수익을 올린다고 합니다.


비트디펜더 멀웨어 연구원들은 이 랜섬웨어의 새 버전 샘플을 분석했으며, 그 결과 CryptoWall 4.0과 이전 버전들과의 확연한 다른 점을 발견했습니다.

CryptoWall은 이전과 마찬가지 방법으로 감염된 이메일을 통해 주로 배포되지만 랜섬메시지와 파일명은 이전과 다르게 변경되었습니다. 더 큰 변화는 CryptoWall 4.0이 데이터와 함께 파일 이름까지 암호화 해버린다는 점입니다.




<그림1. CryptoWall 4.0이 이메일을 통해 배포되는 내용>


암호화된 파일들은 랜덤 숫자 및 문자로 이루어져있으며, 이로 인해 감염된 파일의 원래 파일명을 알아내기가 사실상 불가능해져, 사용자들을 크게 당황하게 만들고 있습니다.




<그림2. CryptoWall 4.0이 암호화하기 전 원본파일명>




<그림3. CryptoWall 4.0이 감염된 후 암호화되면서 변경된 파일명>


일단, 랜섬웨어가 설치되고 파일이 암호화되면 랜섬웨어가 감염된 이용자에게 보여주는 메시지를 HTML, TXT, PNG 세가지 포맷으로 표시하며 메시지 내용에는 다음과 같은 내용들이 포함되어 있습니다.




<그림4. CryptoWall 4.0이 감염된 후 사용자에게 띄우는 메시지>



-유저들에게 암호화에 대해 이해시키는 내용


-공격자들만이 암호화된 파일을 복호화해줄 수 있다고 강조하며 돈을 요구하는 내용


-제 3의 툴을 이용하여 파일을 복구하려는 시도는 암호화된 파일에게 치명적이라고 알려주는 내용


-감염된 사용자들에게 Tor 주소를 통해 돈을 지불하라는 내용


-랜섬웨어가 띄우는 설명메시지가 삭제된다면 안티바이러스 솔루션 때문이라고 경고하는 내용



CryptoWall 4.0은 전작과 동일한 매우 강력한 알고리즘인 RSA-2048을 사용하고 있는 것으로 보입니다. 비트디펜더 멀웨어 연구원들은 관련내용을 계속 조사중이며, 추가정보를 공개한다고 밝혔습니다.


<그림5. 복호화 서비스를 제공하는 비트코인 지불사이트>




참고 : 

http://www.hotforsecurity.com/blog/cryptowall-4-0-returns-to-the-wild-posing-as-good-guy-12985.html

* 해당 블로그 포스트는 hotforsecurity로 부터 공식적으로 인용 허가를 받았습니다.


티스토리 방명록 작성
name password homepage