포스팅 내용

악성코드 분석 리포트

말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인

말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인


안녕하세요. 알약입니다.


국내 불특정 다수의 기업 이용자를 대상으로 JS 스크립트 파일을 첨부해 유포했던 Locky(락키) 랜섬웨어 유포 방식과 유사하게 JSE 스크립트 파일을 이용한 Cerber(케르베르) 랜섬웨어 변종이 국내에 새롭게 전파되고 있습니다. 이에 각별한 주의와 보안 강화를 당부 드립니다. 물론 JS파일을 통한 유포도 계속 이어지고 있는 상태입니다.


▲ 이메일 첨부파일로 유입된 랜섬웨어 화면


국내에 새로 유입된 ‘Cerber’ 랜섬웨어 변종은 이메일에 압축파일을 첨부하며, 압축내부에는 JSE 스크립트가 포함되어 있습니다. 이용자가 압축을 해제하고 무심코 JSE 파일을 클릭하면 악의적인 스크립트 명령을 통해 해외 서버에서 Cerber 랜섬웨어가 은밀히 설치됩니다. 


▲ 압축 파일에 포함된 악성 JSE 스크립트 파일


해당 랜섬웨어는 감염 이후 컴퓨터에 존재하는 각종 문서, 사진, 음원 등의 자료를 암호화하는 일반적인 랜섬웨어와 동일한 악성 행위를 수행합니다.


다만, 특징적으로 '# DECRYPT MY FILES #.VBS' 파일을 생성해 실행합니다. 이 파일은 텍스트를 음성메시지로 변환하는 Windows SAPI Voices TTS(Text-To-Speech) 코드가 포함되어 있어, 스피커를 통해 당신의 문서와 사진, 데이터베이스 등이 암호화 됐다고 영어 음성으로 안내합니다.


이러한 기능 때문에 Cerber 랜섬웨어는 이른바 '말하는 랜섬웨어'라는 별칭을 가지고 있습니다.


▲ 음성 안내용 VBS 파일 내부화면


Cerber 변종은 이메일을 통해 국내에 유입된 것으로 확인되었습니다. 또한, 최근 메일 사용자들의 신뢰를 높이기 위해 해외 이메일이 아닌 국내 도메인을 발신자를 위장하여 랜섬웨어를 유포하는 정황도 발견되어 이메일에 첨부된 파일을 열어볼 때 더욱 각별히 주의해야 합니다. 또한 Cerber 랜섬웨어는 현재 12개국 언어 서비스를 지원하고 있으나, 한국어는 아직 포함되지 않았습니다.


한편 ‘알약(ALYac)’ 제품을 통해 테스트해 본 결과, 이번에 등장한 변종 Cerber 랜섬웨어를 행위기반 탐지 기능을 통해 완벽하게 사전 차단할 수 있는 것으로 확인됐습니다. 따라서, 알약 이용자들은 랜섬웨어 차단기능을 항시 활성화해두시길 당부 드립니다.



알약에서 랜섬웨어가 파일을 암호화시키는 행위는 성공적으로 차단하지만, 랜섬웨어에 의해 PC의 바탕화면이 변경되어 당황하시는 분들도 있을 것으로 예상됩니다. 이러한 상황이 발생하신다면, 다시 정상적인 바탕화면 배경으로 변경하시면 됩니다. 배경화면을 바꾸는 방법은 여기(▶http://blog.alyac.co.kr/678)를 참고하시기 바랍니다.


▲ 국내 유입된 Cerber 변종 알약 행위기반 실제 차단 화면


더불어 알약제품은 다양한 랜섬웨어의 감염을 지속적으로 차단하고 있습니다. 6월 1일부터 7월 4일까지의 통계를 분석해 보면, 최근 몇 주 간격으로 약 1만건 정도로 꾸준히 차단이 유지되고 있어, 랜섬웨어는 아직도 안심할 단계가 아닌 것을 알 수 있습니다.


▲ 알약 최신 랜섬웨어 차단 통계 집계 화면


참고로 Cerber(케르베르)는 신화 속의 동물로 '머리가 3개 달린 지옥을 지키는 개'를 뜻합니다.


현재 알약에서는 이번 랜섬웨어 악성코드를 Trojan.Ransom.Cerber, Trojan.JS.Downloader.Agent로 탐지하고 있습니다.




  1. 아직 2016.07.20 18:32  수정/삭제  댓글쓰기

    아직복구하는 툴은 없는건가요?

    • 알약(Alyac) 2016.07.21 09:44 신고  수정/삭제

      네, 아직 공개된 복구툴은 없습니다. 지금까지 국내 사용자들이 많이 걸린 랜섬웨어 중 복호화 툴이 공개된 것은 http://www.alyac.com/ransomware_protection/ 이 곳을 참고해주시면 되겠습니다. 감사합니다.

  2. 컴터 2016.09.19 21:35  수정/삭제  댓글쓰기

    랜섬웨어가 공격전에 알약을 강제종료하지 않을까요?

    • 알약(Alyac) 2016.09.20 10:07 신고  수정/삭제

      안녕하세요. 아직까지 랜섬웨어가 백신을 종료하는 이슈는 발견되지 않았습니다. 그러나 최근 랜섬웨어는 백신을 우회하는 기능을 탑재하고 있어 탐지가 점점 더 어려워지고 있습니다. ㅠㅠ 알약에서는 악성코드의 우회기능에 대응하기 위해 자체적인 기술력을 높이고, 자가보호기능을 강화하는 등 노력하고 있습니다. 이 점 확인 부탁 드리겠습니다. 감사합니다.

  3. 제제 2016.10.02 23:47  수정/삭제  댓글쓰기

    저렇게 랜섬웨어 차단 창이 떠서 신고하기도 눌렀는데... 바탕화면이 바뀌어있어서 재시동했더니 원래의 바탕화면으로는 돌아왔지만 cerber 랜섬웨어에 걸려있네요.ㅠㅠ jpg파일들만 암호화 돼버린거 같은데 복구방법은 없나요~? 없다면.. 복구방법이 생길수 있을까요...?

    • 알약(Alyac) 2016.10.04 10:40 신고  수정/삭제

      안녕하세요. 최근 랜섬웨어는 백신의 차단기능을 우회하는 경우가 있어 각별한 주의가 필요합니다. ㅠㅠ 문의주신 것처럼 공개된 복구툴은 아직 없습니다. 관련 내용은 http://www.alyac.com/ransomware_protection/ 이 곳을 참고해주시길 부탁 드리겠습니다. 또한 향후 복구툴이 개발될 가능성도 있기 때문에 암호화된 파일이 중요한 파일이라면 따로 보관해두시길 권해 드립니다. 더불어 향후 랜섬웨어 감염 피해를 예방하기 위해 사용하시는 OS, SW등을 최신 버전으로 업데이트해주시고, 중요한 파일은 따로 백업해두시는 등의 조치를 꼭 취해주시길 당부 드립니다. 감사합니다.

  4. Cerber문의 2017.01.20 14:28  수정/삭제  댓글쓰기

    바탕화면 바꾸고 자동으로 바탕화면에 깔린 파일 2개 영구삭제시키고, 알약 정밀검사 돌리면, 굳이 초기화나 복구는 필요없는지요, 아니면 한번 걸렸으면 일단 복구를 시키는게 맞는지요?

    • 알약(Alyac) 2017.01.20 17:30 신고  수정/삭제

      안녕하세요. 알약입니다. 최근 랜섬웨어는 자가삭제 기능이 있어, 감염 후에 삭제되는 경우가 많습니다. 그러나 숙주 파일이 남아있다면 재감염이 될 수 있는 가능성도 있는데요. 좀 더 자세한 내용을 확인하시기 위해서는 알약 [신고하기]로 관련 내용을 신고해주시길 부탁 드리겠습니다. 저희가 원격지원 등을 통해 상세한 상황을 확인 후 좀 더 정확한 안내를 드리도록 하겠습니다. 감사합니다.

  5. jchghcvj 2017.01.21 00:10  수정/삭제  댓글쓰기

    랜섬웨어 차단떠서 신고하고 바탕화면에 있는 사진하나랑 프로그램같은 거 삭제했는데 이제 괜찮은건가요?

    • 알약(Alyac) 2017.01.23 09:28 신고  수정/삭제

      안녕하세요. 알약입니다. 최근 랜섬웨어는 자가삭제 기능이 있어, 감염 후에 삭제되는 경우가 많습니다. 그러나 숙주 파일이 남아있다면 재감염이 될 수도 있습니다.
      관련하여 좀 더 자세한 내용을 확인하시기 위해서는 알약 [신고하기]로 관련 내용을 신고해주시길 부탁 드립니다. 저희가 기재해주신 연락처를 통해 연락 드린 후, 원격지원 등으로 상세한 상황을 확인하고 좀 더 정확한 안내를 드리도록 하겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage