Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가

Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가

Cerber Ransomware v2 Spotted Online, Is Now Undecryptable

지난달 가장 활동이 왕성했던 랜섬웨어인 Cerber가 지난주 업데이트되었습니다. 공격자들은 사용자가 무료로 복호화할 수 있었던 기존 툴을 무력화시켰습니다.

2016년 초에 발견된 Cerber는 몇 개의 언어로 '말하는' 기능을 가진 랜섬웨어입니다. 시간이 흘러, 해당 랜섬웨어는 근래 가장 많이 보이는 위협 중 하나가 되었습니다. 그 이유로는 보안 연구원들이 이를 해킹하려는 시도나 노력을 하지 않았고, 범죄자들이 이를 전보다 더욱 신뢰하기 시작했기 때문입니다.

몇 주 전, 트렌드마이크로가 Cerber를 포함한 몇 개의 랜섬웨어 패밀리로 인해 암호화된 파일들을 복호화할 수 있는 ‘만능 랜섬웨어 복호화 툴’을 개발했습니다.

그러자 이후, Cerber의 배후에 있는 범죄자들은 암호화 루틴을 수정하고, 복호화 툴을 무력화시키도록 업데이트했습니다. 트렌드마이크로의 연구원인 PanicAll에 따르면, 새로운 Cerber의 주요 버전은 v1.5와 v2 두 가지입니다.

첫 번째 업데이트에서는 암호화 루틴을 변경하였고, v2는 확장자를 기존 .cerber 대신 .cerber2로 변경했습니다. 기술적으로, Cerber v2는 암호화 키를 생성하기 위해 CryptGenRandom Microsoft API를 사용하여 16바이트가 아닌 32바이트의 길이로 변경되었습니다.

Cerber v2는 ArcaBit, ArcaVir, Avast, Bitdefender, BullGuard, CA, Emsisoft, ESET, eTrust, F-Secure, Kaspersky, LavaSoft, TrustPort를 사용하는 PC에서는 랜섬웨어를 시작하지 않는 것이 특징입니다. 또한 OS의 언어가 아르메니아, 아제르바이잔, 벨로루시, 그루지야, 키르기스스탄, 카자흐스탄, 몰도바, 러시아, 투르크 메니스탄, 타지키스탄, 우크라이나, 우즈베키스탄의 언어일 경우에도 시작되지 않는 것으로 보입니다.

현재 v2는 456개의 파일 타입을 타겟으로 암호화합니다. 이는 지금까지 가장 광범위한 랜섬웨어 변종들 중 하나입니다. 또한 Cerber는 랜섬 스크린을 아래와 같이 업데이트했습니다.

 

<이미지 출처 : http://news.softpedia.com/news/cerber-ransomware-v2-spotted-online-is-now-undecryptable-507045.shtml>

한편, 알약에서는 해당 랜섬웨어를 Trojan.Ransom.Cerber로 탐지하고 있습니다.

출처 :

http://news.softpedia.com/news/cerber-ransomware-v2-spotted-online-is-now-undecryptable-507045.shtml

http://fuzzer.cn/2016/08/04/cerber2-and-the-differences/