해외 보안 업체와 언론들을 통해 11월 25일경 일반 컴퓨터 시스템이나 파일들을 암호화하여 금전적인 댓가를 요구하는 랜섬웨어(Ransomware)를 다운로드 하는 악성코드가 첨부된 이메일이 유포된 것으로 알려졌다.
랜섬웨어를 다운로드하는 악성코드는 일반적인 다운로더(Downloader) 형태의 트로이목마가 아니라 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 기존에 알려진 APSB09-04 (CVE-2009-0927) 취약점을 악용하는 특이한 전파 형태를 취하고 있다.
일반적으로 현재까지 알려전 랜섬웨어는 크게 2가지 형태로 다음과 같이 나누어 볼 수 있으며 주로 러시아를 포함한 동유럽권에서 감염 및 피해 사례가 알려져 있다.
1. 시스템 잠금 형태
감염된 시스템에서 스크린세이버(Screen Saver)와 같이 동작하며 특정 암호를 설정하여 사용자가 컴퓨터 시스템 자체를 사용하지 못하도록 방해하는 형태
2. 시스템 내 파일 암호화 형태
감염된 시스템에 존재하는 특정 파일 형태들을 RSA-1024 또는 AES-256 암호화 알고리즘을 이용하여 암호화 시킴으로 사용하지 못하도록 방해하는 형태
이 번에 발견된 랜섬웨어는 취약한 PDF 파일이 첨부된 이메일로 유포된 것으로 알려져 있으며 해당 취약한 PDF 파일이 실행되면 프랑스에 위치한 특정 시스템에서 기존에 알려진 제우스(Zeus) 악성코드인 Zbot 변형을 다운로드 하게 된다.
다운로드 된 Zbot 변형이 실행되면 다시 러시아에 위치한 특정 시스템에서 랜섬웨어를 다운로드 한 후 실행하도록 되어 있으며 이러한 전체적인 구조를 도식화 한 이미지가 아래와 같다.
제우스 악성코드인 Zbot 변형에 의해 다운로드 된 후 실행되는 랜섬웨어는 감염된 시스템의 바탕화면에 텍스트 파일인 "HOW TO DECRYPT FILES.txt (1,181 바이트)" 파일을 생성하며 아래 이미지와 같이 메모장을 통해 사용자에게 보여주게 된다.
텍스트 파일에 쓰여진 내용은 사용하는 시스템에 존재하는 파일들이 RSA-1024 알고리즘으로 암호화되었으며 이 파일들을 복호화하기 위해서는 120 달러(한화 약 144,000원)를 송금하고 특정 메일 주소로 텍스트 메시지에 존재하는 시리얼 키를 알려주면 복호화 할 수 있는 프로그램을 보내주겠다는 내용을 가지고 있다.
제우스 악성코드인 Zbot 변형에 의해 다운로드 된 후 실행되는 랜섬웨어는 감염된 시스템의 바탕화면에 텍스트 파일인 "HOW TO DECRYPT FILES.txt (1,181 바이트)" 파일을 생성하며 아래 이미지와 같이 메모장을 통해 사용자에게 보여주게 된다.
텍스트 파일에 쓰여진 내용은 사용하는 시스템에 존재하는 파일들이 RSA-1024 알고리즘으로 암호화되었으며 이 파일들을 복호화하기 위해서는 120 달러(한화 약 144,000원)를 송금하고 특정 메일 주소로 텍스트 메시지에 존재하는 시리얼 키를 알려주면 복호화 할 수 있는 프로그램을 보내주겠다는 내용을 가지고 있다.
그리고 사용자 계정의 임시 폴더에 임의의 문자열을 가진 이미지 파일인 BMP 파일을 생성하여 감염된 시스템의 바탕화면으로 설정하여 아래 이미지와 같이 사용자의 시스템이 RSA-1024 암호화 알고리즘을 이용하여 파일들을 암호화 하였다는 내용을 보여주게 된다.
이와 함께 감염된 시스템의 D 드라이브에 존재하는 폴더의 파일들을 검색하여 순서대로 암호화를 시키도록 시도하며 D 드라이브가 존재하지 않을 경우에는 C 드라이브부터 검색하여 암호화를 시도한다.
암호화 대상이 되는 파일들은 마이크로소프트(Microsoft)의 오피스(Office) 제품군인 워드(Word), 엑셀(Excel) 그리고 파워포인트(PowerPoint) 파일들과 텍스트(Text) 파일 그리고 이미지(BMP, JPG) 파일 등이다.
이와 함께 감염된 시스템의 D 드라이브에 존재하는 폴더의 파일들을 검색하여 순서대로 암호화를 시키도록 시도하며 D 드라이브가 존재하지 않을 경우에는 C 드라이브부터 검색하여 암호화를 시도한다.
암호화 대상이 되는 파일들은 마이크로소프트(Microsoft)의 오피스(Office) 제품군인 워드(Word), 엑셀(Excel) 그리고 파워포인트(PowerPoint) 파일들과 텍스트(Text) 파일 그리고 이미지(BMP, JPG) 파일 등이다.
해당 랜섬웨어는 암호화 대상이 되는 파일의 복사본을 생성한 후 생성한 복사본 파일을 암호화 한 이후 위 이미지에서와 같이 파일 확장자의 뒷 부분에 "ENCODED" 단어를 삽입한 한다. 그리고 암호화 되지 않은 원본 파일을 삭제한다.
이 번에 알려진 랜섬웨어와 이와 관련된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
PDF/Exploit
Win-Trojan/Zbot.153088.AJ
Win-Trojan/Ransom.10752
이러한 랜섬웨어와 같은 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 허위 시스템 오류를 보여주는 허위 시스템 유틸리티 (0) | 2011.10.27 |
|---|---|
| 해외에서 MBR을 덮어쓰는 랜섬웨어 발견 (0) | 2011.10.27 |
| 피싱 툴 킷들로 제작되는 피싱 웹 페이지 (0) | 2011.10.27 |
| 페이스북 채팅 메시지로 유포되는 악성코드 (0) | 2011.10.27 |
| 새해를 알리는 2011년 버전을 유포 중인 허위 백신 (0) | 2011.10.27 |
댓글