상세 컨텐츠

본문 제목

CTB-Locker 랜섬웨어 수천개의 웹서버들 감염시켜

국내외 보안동향

by 알약(Alyac) 2016. 3. 3. 09:00

본문

CTB-Locker 랜섬웨어 수천개의 웹서버들 감염시켜


CTB-Locker 패밀리의 랜섬웨어가 '웹사이트'들을 감염시키기 위하여 업데이트 되었습니다. 

"CTB-Locker for Websites"라 명명된 이 랜섬웨어는 웹 사이트의 데이터를 암호화 하며, 0.4 비트코인을 지불하면 복호화 해줍니다. 


이 랜섬웨어는 웹사이트를 실제로 훼손하여 관리자에게 랜섬머니를 지불하도록 만드는 첫번째 랜섬웨어이며, 복호화 키가 실제로 동작한다는 것을 증명하기 위하여 관리자에게 2개의 파일을 무료로 복호화 할 수 있도록 해줍니다. 


CTB-Locker for Websites 랜섬웨어 동작방식


CTB-Locker 랜섬웨어는 웹사이트를 호스팅 하는 서버의 인덱스페이지(index.php 또는 index.html)를 공격자가 만든 페이지(새로운 index.php)로 바꾸어버립니다. 그 후 사이트의 파일들이 암호화 되었으며, 기한 내에 랜섬머니를 지불해야 한다는 메시지를 표시합니다. 일단 암호화되면 "당신의 스크립트, 문서, 사진, 데이터베이스 및 다른 중요한 파일들은 가장 강력한 암호화 알고리즘인 AES-256과 이 사이트를 위해 생성된 고유 키를 이용하여 암호화 되었습니다"라는 메세지가 표시됩니다. 또한 특정 비트코인 주소로 돈을 지불할 수 있는 가이드도 함께 표시됩니다. 


2개의 파일을 무료로 복호화 해 주는 키


웹 사이트를 암호화 시킨 후, 랜섬웨어 공격자는 두개의 서로 다른 AES-256 복호화 키를 생성합니다. 이 중 하나는 두 개의 랜덤한 파일들을 무료로 복호화 하는데 사용됩니다. 


사이트 관리자가 암호화 된 파일명을 입력하고 "Decrypt for Free" 버튼을 클릭하면, C&C 서버에서 복호화 키를 테스트 하라는 요청을 통하여 jquery가 작동됩니다. 키를 수령한 후 두개의 랜덤 파일을 복호화 한 후 "축하드립니다! 테스트 파일들이 복호화 되었습니다!"라는 메세지를 표시합니다. 나머지 키 하나는 랜섬머니를 지불한 후 암호화 된 다른 모든 파일들을 복호화 하는데 쓰입니다. 


웹사이트의 모든 컨텐츠는 AES-256 알고리즘을 이용하여 암호화 되며, 각각의 웹사이트를 위한 고유 ID가 생성됩니다. 거의 모든 타입의 파일들이 CTB-Locker 랜섬웨어에 영향받는 것으로 나타났습니다. 


이 랜섬웨어의 개발자들은 희생양이 랜섬웨어 제작자와 직접 통신할 수 있는 채팅방도 제공하는데, 채팅을 위해서는 index.php와 동일한 경로에 있는 secret 파일의 이름을 확인해야만 합니다. 


CTB-Locker for Website 패키지는 아래의 파일들을 사용합니다.


index.php: CTB-Locker의 메인 콤포넌트이며, 암호화/복호화 루틴 및 지불 페이지를 포함한다.

allenc.txt: 모든 암호화 된 파일의 리스트를 포함한다.

test.txt: 무료로 복호화 될 두 개의 파일의 경로 및 파일명을 포함한다.

victims.txt: 암호화 될 모든 파일의 리스트를 포함한다. 이미 암호화 된 파일들도 이 리스트에 남아있을 것이다.

extensions.txt: 암호화 되어야 하는 파일의 확장자들 리스트를 포함한다.

secret_[site_specific_string]: 무료 복호화와 채팅 기능을 이용하고자 할 때 사용 되는 secret파일. Index.php와 동일한 경로에 위치한다.


현재까지 발견 된 C&C 서버들은 아래와 같습니다.


http://erdeni.ru/access.php

http://studiogreystar.com/access.php

http://a1hose.com/access.php


관리자들이 특정 기간 내에 랜섬머니를 지불하지 않으면 금액은 두배인 0.8BTC로 증가합니다. 


현재까지 어떠한 경로로 서버들이 랜섬웨어에 감염되는지는 밝혀지지 않았습니다. 또한 주의해야할 점은 통계로 보았을 때, 감염 서버들은 Linux와 Windows 더블 os를 사용하고 있었으며, 그 중 대부분(73%)이 Exim 서비스를 이용하고 있었습니다.


이 랜섬웨어들은 수 많은 워드프레스 사이트들을 타겟으로 하고 있으며, 많은 웹사이트들이 피해를 당한 것으로 나타났습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.ransom.CTBLocker로 탐지하고 있습니다.



참고 : 

http://thehackernews.com/2016/02/ctb-locker-ransomware.html

http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/


관련글 더보기

댓글 영역