새롭게 등장한 랜섬웨어 Chimera(키메라)

최근 CryptoWall, Crypt0L0cker 등 다양한 랜섬웨어가 등장하고 있습니다.

랜섬웨어란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217

Crypt0L0cker란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305

CryptoWall이란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/455

그중 얼마전 새롭게 등장한 Chimera(이하 키메라)라고 하는 랜섬웨어에 대해 간단하게 살펴보겠습니다. 

키메라 랜섬웨어는 지금까지 확인된 것으로는 2015년 9월말경부터 발견되기 시작했으며, 랜섬메시지에서 피해자의 PC에 저장된 사진과 비디오파일을 가져간다는 추가협박을 하는 랜섬웨어입니다. (수집된 샘플로 분석한 결과, 실제로 랜섬웨어에 감염된 PC에서 특정 파일을 가져가는 동작은  하지 않는 것으로 확인되었습니다.)

키메라 랜섬웨어는 다른 랜섬웨어들과 유사하게 일단 감염되면, C&C서버와 통신을 시도하고 연결되면 본격적으로 사용자PC에 있는 파일을 암호화합니다. 

조금 특이한 점은, 특정 폴더를 제외한 나머지 폴더에 존재하는 exe파일이나 dll파일까지 대부분 암호화시킵니다. 사용자들의 원활한 결제를 유도하고 랜섬웨어의 생존시간을 높이기 위해 OS관련 파일들은 대부분 건드리지 않는 기존 랜섬웨어들과 다른 형태입니다. 물론 제작자가 의도한 부분은 아니라고 판단됩니다.

키메라 랜섬웨어는 윈도우 폴더내의 시스템 파일까지 암호화를 진행하여 Windows 자체에서 'Windows 실행에 필요한 파일이 알수 없는 버전으로 교체되었다'는 파일 보호 메시지를 띄우고 정품 윈도우를 삽입하라고 요구하게 만들기도 합니다. 

즉, 키메라 랜섬웨어에 감염된 경우, 정상적으로 OS가 동작하지 않을 가능성이 매우 높습니다. 실제로 테스트를 진행한 Windows XP환경에서는 재부팅 후 정상부팅이 일부 불가능한 경우도 발생했습니다. 

일단 감염이 완료되면, 키메라 랜섬웨어의 희생자가 되었다는 내용과 함께, 비트코인을 입력하라는 내용의 위와 같은 메시지를 보여주게 됩니다.

키메라 랜섬웨어 등장초기에는 랜섬메시지를 독일어로 보여줘서 독일인들을 타겟으로 했다는 추측도 이뤄졌습니다. 그러나, 최근에 수집된 키메라 랜섬웨어의 경우에는 우상단에 위치한 영국 및 독일 국기이미지를 클릭시 각각 영어와 독일어로 랜섬메시지를 보여주고 있습니다. 

랜섬메시지에는 비트코인을 요구하는 내용과 함께, 기존 랜섬웨어에서는 언급되지 않았던 피해자 PC에 저장된 개인사진 및 비디오파일을 인터넷에 공개하겠다는 추가협박 메시지를 보여줍니다. 단, 현재까지 확인된 바로는 피해자PC에서 저장되어 있는 어떤 파일을 C&C서버등으로 전송하는 동작은 실제로 하지 않는 것으로 확인되었습니다. 사용자들의 결제를 유도하는 허위 메시지라고 보여집니다.

랜섬웨어는 일단 감염이 된 후에는 복구할 수 있는 방법이 거의 없으므로 중요자료 백업과 취약점 보안패치를 통한 사전예방이 가장 중요합니다. 키메라 랜섬웨어의 경우도 Adobe Flash Player나 Adobe Reader의 취약점을 주로 이용하여 유포되므로 자주 사용하는 SW의 보안패치는 필수입니다. 또한 알약 익스플로잇 쉴드와 같은 취약점 차단 솔루션을 사용하는 것도 한가지 방법입니다.

알약에서는 키메라 랜섬웨어에 대해 Trojan.Ransom.Chimera 로 탐지하고 있으며 변종이 발견되는 대로 DB 업데이트를 진행하고 있습니다.