랜덤으로 확장자 명을 바꾸는 CryptXXX 랜섬웨어 변종 주의!
안녕하세요 알약입니다.
지난 3일부터 7일까지 국내 대형 커뮤니티를 중심으로 피해가 속출했던 ’CryptXXX’ 랜섬웨어 변종이 또 다시 해외에서 등장하였습니다.
이번에 발견된 ‘CryptXXX’ 랜섬웨어도 기존과 마찬가지로 한국어를 포함해 25개국의 다국적 언어 서비스를 제공하고 있으며, 1.2 BTC 비트코인을 요구하고 있습니다.
22일 현재 1 BTC 비트코인 시세는 한화로 약 80만원 정도 거래되고 있어, 랜섬웨어에 감염되면 약 100만원 상당의 금액 요구를 받게 됩니다. 감염된 후 100시간 정도 후에는 2.4 BTC 비트코인으로 2배 증가합니다.
새롭게 등장한 ‘CryptXXX’ 변종은 Neutrino Exploit Kit을 통해 전파되었고, 플래시 플레이어 취약점 등을 통해 감염됩니다. 감염 이후 컴퓨터에 존재하는 각종 문서, 사진, 음원, 압축 파일 등을 암호화하고 기존 변종들과 다르게 확장명을 무작위(랜덤)로 추가하여 변경하는 특징을 가졌습니다.
6월 21일 기준 변종이 해외에서 보고된 이후 아직 국내 피해사례가 보고되지는 않았지만, 웹 사이트를 통한 유포기법으로 인해 언제든지 국내 피해로 이어질 가능성이 존재하므로 사용자 여러분의 주의가 필요합니다.
<랜섬머니 요구>
회사 측에 따르면 이번 CryptXXX 변종은 기존에 알려진 “.crypt”, “.cryp1”, “.cryptz” 확장명에서 임의의 랜덤한 확장명을 추가해 암호화하는 형태로 변화되었습니다.
<랜섬웨어에 감염된 후 암호화된 파일들>
암호화가 제외되는 경로는 다음과 같습니다.
\F4BC~1\\
\\ALLUSE~1\\
\\PROGRA~1\\
\\PROGRA~2\\
\\APPDATA\\
\\PROGRA~3\\
\\PUBLIC\\
AUTOEXEC.BAT
THUMBSDB
\\APPLIC~1\\
\\COOKIES\\
\\LOCALS~1\\
\\TEMPLA~1\\
\\WINDOWS\\
\\WINNT
\\RECYCLER\\
\\SYSTEM~1\\
\\BOOT\\
\\RECOVERY\\
\\$RECYCLE.BIN\\
\\PERFLOGS\\
\\EFI\\
\\CONFIGMSI\\
\\PROGRA~1\\
\\PROGRA~2\\
\\GOOGLE\\
\\TEMP\\
이 랜섬웨어가 암호화를 시키는 파일 확장자는 다음과 같습니다.
3DM,3DS,3G2,3GP,4DB,4DL,4MP,A3D,ABM,ABS,ABW,ACCDB,ACT,ADN,ADP,AES,AF2,AF3,AFT,AFX,AGIF,AGP,
AHD,AIC,AIF,AIM,ALBM,ALF,ANI,ANS,APD,APK,APM,APNG,APP,APS,APT,APX,ARC,ART,ARW,ASC,ASE,ASF,
ASK,ASM,ASP,ASPX,ASW,ASX,ASY,ATY,AVI,AWDB,AWP,AWT,AWW,AZZ,BAD,BAY,BBS,BDB,BDP,BDR,BEAN,
BIB,BM2,BMP,BMX,BNA,BND,BOC,BOK,BRD,BRK,BRN,BRT,BSS,BTD,BTI,BTR,BZ2,C,C2,C4,C4D,CAL,CALS,CAN,
CD5,CDB,CDC,CDG,CDMM,CDMT,CDR,CDR3,CDR4,CDR6,CDT,CER,,CFG,CFM,CFU,CGI,CGM,CIMG,CIN,CIT,
CKP,CLASS,CLKW,CMA,CMD,CMX,CNM,CNV,COLZ,CPC,CPD,CPG,CPP,CPS,CPT,CPX,CRD,CRT,CRWL,CRYPT,
CSR,CSS,CSV,CSY,CUE,CV5,CVG,CVI,CVS,CVX,CWT,CXF,CYI,DAD,DAF,DB,DB3,DBF,DBK,DBT,DBV,DBX,DCA,
DCB,DCH,DCS,DCT,DCU,DCX,DDL,DDOC,DDS,DED,DF1,DGN,DGS,DHS,DIB,DIF,DIP,DJV,DJVU,DM3,DMI,
DMO,DNC,DNE,DOC,DOCB,DOCM,DOCX,DOCZ,DOT,DOTM,DOTX,DP1,DPP,DPX,DQY,DRW,DRZ,DSK,DSN,
DSV,DT2,DTA,DTD,DTSX,DTW,DVI,DVL,DWG,DXB,DXF,DXL,ECO,ECW,ECX,EDB,EFD,EGC,EIO,EIP,EIT,EMD,EMF,
EML,EMLX,EPF,EPP,EPS,EPSF,EQL,ERF,ERR,ETF,ETX,EUC,EXR,FAL,FAQ,FAX,FB2,FB3,FBL,FBX,FCD,FCF,FDB,FDF,
FDR,FDS,FDT,FDX,FDXT,FES,FFT,FH10,FH11,FH3,FH4,FH5,FH6,FH7,FH8,FIC,FID,FIF,FIG,FIL,FLA,FLI,FLR,FLV,FM5,
FMV,FODT,FOL,FP3,FP4,FP5,FP7,FPOS,FPT,FPX,FRM,FRT,FT10,FT11,FT7,FT8,FT9,FTN,FWDN,FXC,FXG,FZB,FZV,
GADGET,GBK,GBR,GCDP,GDB,GDOC,GED,GEM,GEO,GFB,GGR,GIF,GIH,GIM,GIO,GLOX,GPD,GPG,GPN,GPX,
GRO,GROB,GRS,GSD,GTHR,GTP,GV,GWI,,H,HBK,HDB,HDP,HDR,HHT,HIS,HPG,HPGL,HPI,HPL,HTC,HTM,HTML,
HWP,,I3D,IB,IBD,IBOOKS,ICN,ICON,IDC,IDEA,IDX,IFF,IGT,IGX,IHX,IIL,IIQ,IMD,INDD,INFO,INK,IPF,IPX,ITDB,ITW,
IWI,J2C,J2K,JAR,JAS,JAVA,JB2,JBMP,JBR,JFIF,JIA,JIS,JKS,JNG,JOE,JP1,JP2,JPE,JPEG,JPG,JPG2,JPS,JPX,JRTF,,JSP,
JTX,JWL,JXR,KDB,KDBX,KDC,KDI,KDK,KES,KEY,KIC,KLG,KML,KMZ,KNT,KON,KPG,KWD,LAY,LAY6,LBM,LBT,LDF,
LGC,LIS,LIT,LJP,LMK,LNT,LP2,LRC,LST,LTR,LTX,LUA,LUE,LUF,LWO,LWP,LWS,LYT,LYX,M,M3D,M3U,M4A,M4V,
MA,MAC,MAN,MAP,MAQ,MAT,MAX,MB,MBM,MBOX,MDB,MDF,MDN,MDT,ME,MEF,MELL,MFD,MFT,MGCB,
MGMT,MGMX,MID,MIN,MKV,MMAT,MML,MNG,MNR,MNT,MOBI,MOS,MOV,MP3,MP4,MPA,MPF,MPG,MPO,
MRG,MRXS,MS11,MSG,MSI,MT9,MUD,MWB,MWP,MXL,MYD,MYI,MYL,NCR,NCT,NDF,NEF,NFO,NJX,NLM,
NOTE,NOW,NRW,NS2,NS3,NS4,NSF,NV2,NYF,NZB,OBJ,OC3,OC4,OC5,OCE,OCI,OCR,ODB,ODG,ODM,ODO,
ODP,ODS,ODT,OFL,OFT,OMF,OPLC,OQY,ORA,ORF,ORT,ORX,OTA,OTG,OTI,OTP,OTS,OTT,OVP,OVR,OWC,
OWG,OYX,OZB,OZJ,OZT,P12,P7S,P96,P97,PAGES,PAL,PAN,PANO,PAP,PAQ,PAS,PB,PBM,PC1,PC2,PC3,PCD,
PCS,PCT,PCX,PDB,PDD,PDF,PDM,PDN,PDS,PDT,PE4,PEF,PEM,PFF,PFI,PFS,PFV,PFX,PGF,PGM,PHM,PHP,PI1,
PI2,PI3,PIC,PICT,PIF,PIX,PJPG,PJT,,PLT,PLUGIN,,PMG,PNG,PNI,PNM,PNTG,PNZ,POP,POT,POTM,POTX,PP4,PP5,
PPAM,PPM,PPS,PPSM,PPSX,PPT,PPTM,PPTX,PRF,PRIV,PRIVATE,PRT,PRW,,PSD,PSDX,PSE,PSID,PSP,PSPIMAGE,
PSW,PTG,PTH,PTX,,PVJ,PVM,PVR,PWA,PWI,PWR,PXR,,PZ3,PZA,PZP,PZS,QCOW2,QDL,QMG,QPX,QRY,QVD,RA,
RAD,RAR,RAS,RAW,RCTD,RCU,RDB,RDDS,RDL,RFT,RGB,RGF,RIB,RIC,RIFF,RIS,RIX,RLE,RLI,,RNG,RPD,RPF,RPT,
RRI,RSB,RSD,RSR,RSS,RST,,RTD,RTF,RTX,RUN,RW2,RWL,RZK,RZN,S2MV,S3M,SAF,SAI,SAM,SAVE,SBF,SCAD,
SCC,SCH,SCI,SCM,SCT,SCV,SCW,SDB,SDF,SDM,SDOC,SDW,SEP,SFC,SFW,SGM,,SIG,SITX,SK1,SK2,SKM,SLA,
SLD,SLDX,SLK,SLN,SLS,SMF,SMIL,SMS,SOB,SPA,SPE,SPH,SPJ,SPP,SPQ,SPR,SQB,SQL,SQLITE3,SQLITEDB,SR2,
SRT,SRW,SSA,SSK,,STC,STD,STE,STI,STM,STN,STP,STR,STW,STY,SUB,SUMO,SVA,SVF,SVG,SVGZ,SWF,SXC,SXD,
SXG,SXI,SXM,SXW,T2B,TAB,TAR,TB0,TBK,TBN,TCX,TDF,TDT,TE,TEX,TEXT,,TFC,TG4,TGA,TGZ,THM,THP,TIF,TIFF,
TJP,TLB,TLC,,TM2,TMD,TMP,TMV,TMX,,TNE,TPC,TPI,TRM,TVJ,TXT,U3D,U3I,UDB,UFO,UFR,UGA,UNX,UOF,UOP,
UOT,UPD,USR,UTF8,UTXT,V12,VB,VBR,VBS,VCF,VCT,VCXPROJ,VDA,VDB,VDI,VEC,VFF,VMDK,VML,VMX,VNT,
VOB,VPD,VPE,VRML,VRP,VSD,VSDM,VSDX,VSM,VST,VSTX,VUE,,WAV,WB1,WBC,WBD,WBK,WBM,WBMP,WBZ,
WCF,WDB,WDP,WEBP,WGZ,WIRE,WKS,WMA,WMDB,WMF,WMV,,,WP4,WP5,WP6,WP7,WPA,WPD,WPE,WPG,
WPL,WPS,WPT,WPW,WRI,WSC,WSD,WSF,WSH,WTX,WVL,X3D,X3F,XAR,XCODEPROJ,XDB,XDL,XHTM,XHTML,
XLC,XLD,XLF,XLGC,XLM,XLR,XLS,XLSB,XLSM,XLSX,XLT,XLTM,XLTX,XLW,XML,XPM,XPS,XWP,XY3,XYP,XYW,YAL,
YBK,YML,YSP,YUV,Z3D,ZABW,ZDB,ZDC,ZIF,ZIP,ZIPX
암호화 대상 파일들로는 음원이나 사진들 외에도 한국에서 주로 많이 이용하는 문서 파일(HWP, DOC, PDF, XLS, PPT 등)도 모두 암호화 대상에 포함되어 있어 해당 랜섬웨어에 감염될 경우 거의 모든 자료가 유실되는 피해로 이어질 수 있습니다.
컴퓨터에 존재하는 주요 파일들의 암호화 작업이 완료된 이후에는 ‘@(12자리 무작위 숫자+알파벳).bmp’ 이미지 파일을 이용해 Windows 바탕화면을 강제로 변경하고, 비트코인 결제 유도 사이트가 보이도록 만듭니다.
이처럼 랜섬웨어가 암호화 작업을 마친 이후에 안내 화면들을 보여주고 있기 때문에 감염자들은 주로 피해를 입은 후에나 상황을 인지하게 됩니다.
<랜섬웨어 감염 후 바뀐 사용자 PC 바탕화면>
추가로 보고된 CryptXXX 변종 랜섬웨어 역시 기존과 동일하게 한글화 서비스를 지원하고 있으며, 다음과 같은 암호화 경고 내용과 복호화 방식 안내 페이지를 띄웁니다.
안내 페이지용으로 만들어진 ‘.txt’, ‘.html’ 파일 등은 다양한 경로에 생성해 쉽게 노출되도록 만듭니다.
알약 행위기반 차단 건수는 6월 8일 이후에도 평균적으로 약 1만건 정도의 차단 수치가 유지 중으로 랜섬웨어 공격은 현재도 계속 이어지고 있음을 알 수 있습니다. 이처럼 랜섬웨어의 위협은 아직까지 안심할 단계는 아닙니다.
더불어 외국에서 새롭게 등장한 변종이 국내로 유입되는 것은 시간문제입니다.
알약 사용자 여러분께서는 알약 랜섬웨어 차단기능으로 CryptXXX 랜섬웨어 변종을 효과적으로 차단하실 수 있습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.CryptXXX로 탐지중에 있습니다.
2016 정보보호의 달 보안인식 설문조사 (2) | 2016.06.28 |
---|---|
CryptXXX 2.x 복호화툴 공개! (33) | 2016.06.27 |
주말동안 휴대폰 관련 대형 커뮤니티에서 유포된 랜섬웨어 주의! (9) | 2016.06.07 |
폰 속 쓰레기 파일은 알약 안드로이드로 깔끔히 없애자! (4) | 2016.05.17 |
estrtw.sys 디지털서명 메시지 관련 안내 (2) | 2016.02.05 |
댓글 영역