상세 컨텐츠

본문 제목

LockBit 3.0 랜섬웨어 빌더 공개돼

악성코드 분석 리포트

by 알약4 2022. 9. 22. 14:35

본문



LockBit 3.0 빌더가 트위터에 유출되었습니다. 

이번 빌더는 LockBit 랜섬웨어 그룹에 고용된 프로그래머가 유출한 것으로 추정되고 있으며, 이번에 유출된 LockBit 3.0 빌더를 사용하면 누구나 암호화기, 복호화기를 포함한 실행파일을 빠르게 빌드할 수 있습니다.

LockBit 3.0 빌더는 Build.bat, builder.exe, config.json, keygen.exe 4개로 구성되어 있으며, 이 중 Config.json 파일을 통해 랜섬머니 금액 설정, 구성옵션 변경, 종료할 프로세스 및 서비스 설정, C&C 서버 지정 등 다양한 옵션을 공격자에 맞게 설정할 수 있습니다. 

이후 Build.bat 파일을 통해 랜섬웨어 공격에 필요한 모든 파일을 생성할 수 있습니다. 

공개된 빌더로 빌드를 하면 다음과 같은 프로그램들이 Bulid 폴더에 생성됩니다. 

 

 

[그림 1] 공개된 LockBit 3.0 빌더로 빌드 후 생성되는 파일들

 

 

생성된 파일들 중 LB3.exe 파일이 실제 공격자들이 공격에 사용하는 랜섬웨어 파일로, 해당 파일을 실행하면 다음과 같이 PC 내 파일들이 암호화가 됩니다. 

 

 

[그림 2] 랜섬웨어 실행 후 암호화 된 파일들

 

 

이후 빌드된 파일에 포함되어 있는 LB3Decryptor.exe 파일을 실행하면 암호화 된 파일들이 성공적으로 복호화 됩니다. 

 

 

[그림 3] 복호화기 실행 후 복호화 된 파일들

 

 

빌드 전 Config.json 파일에서 공격자가 원하는 비트코인 주소, 서버, 랜섬노트 내용 등을 커스터마이징 할 수 있습니다. 

 

 

[그림 4] 커스터마이징된 랜섬노트

 

 

이렇게 유출된 LockBit 3.0 랜섬웨어 빌더를 이용하면 전문가가 아니라도 쉽게 랜섬웨어를 제작할 수 있어, 랜섬웨어 공격은 더욱 더 기승을 부릴 것으로 예상됩니다. 

 

사용자 여러분들께서는 랜섬웨어에 감염되지 않도록 각별히 주의를 기울이시기 바라며, 중요 파일들은 주기적으로 백업해 두시기를 권고 드립니다. 

 

 

 

 

관련글 더보기

댓글 영역