포스팅 내용

국내외 보안동향

일본, .vvv 확장자로 암호화 시키는 랜섬웨어 발견

일본, .vvv 확장자로 암호화 시키는 랜섬웨어 발견

「.vvv」ウイルスの被害と対策。強制暗号=ランサムウェアが、サイト表示=広告だけで感染してしまう


최근 일본에서 파일들을 .vvv 확장자로 변환시키는 랜섬웨어가 발견되고 있습니다. 



12월 5일부터, 일본의 SNS에서는, .vvv 확장자로 변환시키는 랜섬웨어에 감염되었다는 글들이 속속 올라왔으며, Malvertising형태로 유포되고 있다고 주장하였습니다. 


* Malvertising

Malware + Advertising의 줄임말로, 광고서버가 해킹되어 드라이브 바이 다운로드 형태로 사용자들에게 유포되는 것


감염된 일본 사용자들에 따르면, 해당 랜섬웨어에 감염 후 감염 PC에 존재하는 특정 확장자 파일들을 .vvv 확장자로 암호화 시킬 뿐만 아니라, Windows 복원 파일도 삭제한다고 하였습니다. 


하지만, 트렌드 마이크로는 이번 일본 내 랜섬웨어 사태에 대하여 아래와 같은 입장을 밝혔습니다. 



이번에 일본에서 발생한 랜섬웨어는 일본 사용자들을 겨냥한 공격은 아니며, 다른나라들과 피해상황을 비교해 보았을 때, 크게 다르지 않습니다. 또한 이번 랜섬웨어의 감염경로로 추정되고 있는 악성 광고 경로는, 트렌드마이크로 모니터링 중에서는 발견되지 않았으며, 악성광고 이외의 이메일 첨부파일 혹은 변조된 웹사이트를 통한 감염도 충분히 가능성이 있습니다.



알약에서 확인결과, 해당 랜섬웨어는 확장명을 .vvv로 변경하는 테슬라크립트 랜섬웨어 변종으로, 감염 후 띄우는 경고창은 크립토월 안내 메세지를 모방해서 쓰고 있습니다. 



현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.TeslaCrypt로 탐지중에 있습니다. 




참고 : 

https://twitter.com/kankitsu0/status/673269355518410752

http://bylines.news.yahoo.co.jp/mikamiyoh/20151206-00052167/

http://korekichi2ch.com/archives/1987249.html

http://internet.watch.impress.co.jp/docs/news/20151207_734143.html

  1. IT세레스 2015.12.10 03:16 신고  수정/삭제  댓글쓰기

    랜섬웨어가 점점 진화를 거듭하는군요.
    정말 조심해야 겠습니다.!

    • 알약(Alyac) 2015.12.18 10:33 신고  수정/삭제

      IT최강자님 말처럼 랜섬웨어가 점점 진화를 하고 있습니다. ㅠ 랜섬웨어 피해를 최소화 하려면 중요한 문서는 항상 백업해 놓으시는거 아시죠?^-^

  2. 케이1 2015.12.10 16:51  수정/삭제  댓글쓰기

    오늘 점심경 제 업무pc가 이 랜섬웨이에 당했습니다. 오전에 모게임판매사이트 결제말고는 딱히 의심가는 사이트나 다운로드는 없었습니다. 어떻게 대처해야하나요?

    • 케이1 2015.12.10 16:53  수정/삭제

      마침 지난주에 pc을 포맷하고 처음 결제하던 상황이여서 이것저것 결제 관련 파일들을 설치했어서 의심이 되네요(물론 그 사이트가 원인이 아닐수도 있습니다.)

  3. 케이1 2015.12.10 16:51  수정/삭제  댓글쓰기

    오늘 점심경 제 업무pc가 이 랜섬웨이에 당했습니다. 오전에 모게임판매사이트 결제말고는 딱히 의심가는 사이트나 다운로드는 없었습니다. 어떻게 대처해야하나요?

    • 알약(Alyac) 2015.12.18 10:39 신고  수정/삭제

      케이1님 안녕하세요. 랜섬웨어에 감염되셧군요 ㅠ_ㅠ 랜섬웨어의 감염경로는 매우 다양합니다. 업무 PC의 설치되어 있는 SW들(예를들어 어도비 플래시 플레이어 등)이 최신 버전이 아닐 경우, SW취약점을 이용하여 감염되는 경우도 있으며, p2p사이트에서 정상 파일을 위장하고 있는 랜섬웨어를 내려받아 감염되는 경우 등 있습니다. 도움을 드리지 못해 죄송합니다ㅠ_ㅠ. 랜섬웨어의 피해를 최소화 하시려면 PC를 다시 포멧하신 후 중요 파일들은 주기적으로 백업하시는게 좋으며, 자주 사용하시는 SW들을 항상 최신버전으로 유지해 주셔야 합니다. 감사합니다.

  4. 레이 2016.01.19 15:01  수정/삭제  댓글쓰기

    저는 12월 6일에 감염되었는데 아직 복구할 방법은 나오지 않은 상태인건가요? 마운트 되어있는 구글드라이브도 함께 암호화 되는 바람에 소스코드와 문서들이 함께 날아갔었네요.

    • 알약(Alyac) 2016.02.02 10:47 신고  수정/삭제

      레이님 안녕하세요. 해당 랜섬웨어에 대한 복구 방법은 아직 나오지 않은 상황입니다. 도움을 드리지 못해 죄송합니다. 감사합니다.

티스토리 방명록 작성
name password homepage