분석 정보/랜섬웨어 분석 정보

웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요

TACHYON & ISARC 2011. 3. 14. 15:59

1. 개 요

 

최근 해외를 중심으로 파일들에 대한 암호화 등 다양한 기법을 통해 사용자의 PC를 담보로 금전적 이득 등을 목적으로 하는 악성파일이 지속적으로 유포되고 있다. 블로그를 통해 몇 차례 소개하였던 이 악성파일은 랜섬웨어(Ransomware)라 불리며, 사회공학 기법을 악용해 마치 Internet Explorer 등의 웹 브라우저 업데이트와 관련한 파일로 위장된 변종이 발견되면서 사용자들의 각별한 주의가 요구되고 있다.

 

  

금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

Ransomware 변종의 지속적인 출현과 예방 조치 방법
http://erteam.nprotect.com/112

퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견
http://erteam.nprotect.com/121

  


2. 감염 경로 및 증상


Ransomware들은 주로 취약점이 존재하는 웹 사이트를 해킹하여 해당 악성파일을 업로드 후 사용자들에게 다운로드를 유도하는 등의 방식을 통해 유포될 수 있으며, 이메일의 첨부 파일이나 인스턴트 메신저, 혹은 SNS(Social Network Service) 등의 링크접속을 통해서도 유포될 수 있다.

해당 악성파일이 유포되는 사이트에 접근할 경우 아래의 그림과 같이 "공격 사이트 보고" 화면을 보여주게 된다.

위 그림에서 "Internet Explorer에 대한 업데이트를 설치" 버튼을 클릭할 경우 아래와 같은 Ransomware 악성파일을 다운로드 하게 된다. 

 

※ Internet Explorer 웹 브라우저 사용자의 경우 : "Internet-Explorer_update.exe" 파일 다운로드
   구글 크롬 웹 브라우저 사용자의 경우 : "chrome_update.exe" 파일 다운로드

또한, 해당 악성파일에 감염되면 아래와 같이 추가적인 파일을 생성하며, 예약작업을 걸어두어 설정된 시간 동안 해당 악성파일이 지속적으로 동작 하게된다.

※ 생성파일

  - (윈도우 폴더)\Tasks\(10~11자리 임의의 영문자).job


※ (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.

일정시간 후 또는, PC를 재부팅할 경우 아래와 같은 화면을 보여주며, 정상적인 PC사용을 방해한다. 해당 본문 내용은 경찰에서 공지하는 것과 같이 위장되어 있으며, 음란물이나, 허가 받지 않은 소프트웨어 등의 다운로드에 따른 허위 경고 문구를 담고 있다.

본문 내용을 잘 살펴보면 문맥이 어색한 부분(당신은 사이버 범죄를 저지렸습니다!, 물적 증거는 이갰습니다. 등)을 쉽게 발견할 수 있다. 마치 각종 번역기를 통해 번역된 내용을 그대로 옮겨 놓은듯한 내용을 담고 있으며, 아래의 그림과 같이 본문 내용에 대한 다국어 지원을 통해 다양한 국가에서 피해를 유발할 수 있다.

"후표제" 버튼을 클릭할 경우 아래의 그림과 같이 정상적인 PC 사용을 위해 3개의 전화번호를 통한 전화 유도를 하고 있으며, 0.3$를 요구하고 있다. 이는 아주 전형적인 Ransomware의 최종 감염 증상이다.

추가적으로 아래의 그림과 같이 다양하게 파일명이 바뀌어 유포중에 있으며, 모두 정상 웹 브라우저 등의 업데이트 모듈 등으로 위장하고 있다.

3. 예방 조치 방법

이러한 Ransomware는 사용자 PC의 데이터 손실, 금전적 손해 등의 직접적인 피해를 입힐 수 있다. 또한, 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현이 예상된다. 때문에 사전 예방 조치가 반드시 선행되어야 하며, 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

 

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.