[우리문화신문=이한영 기자] 연말을 앞두고 최근 랜섬웨어가 잇따라 국내에 들어오고 있다. 파일을 암호화하는 것 말고도 정보 유출 등의 악성 행위를 시도하는 랜섬웨어도 확인돼 사용자들의 더욱 각별한 주의가 필요하다. 피해 예방을 위해 11월초부터 다양한 방법으로 국내에 퍼지고 있는 최신 랜섬웨어를 알아 두자.
1. 같은 듯 다른 신ㆍ변종 랜섬웨어
지난 11월 6일, 안랩 시큐리티대응센터(AhnLab Security Emergency response Center) 분석팀은 블루크랩(BlueGrab) 랜섬웨어(일명 소디노키비, Sodinokibi)와 겉모습이 같은 새로운 랜섬웨어를 발견했다. [그림 1]은 이 랜섬웨어의 랜섬노트로, 이에 따라 흔히 ‘안테프리구스(AnteFrigus)’로 불린다.
안테프리구스 랜섬웨어는 C드라이브를 제외한 D, E, F 등의 드라이브 내 폴더나 파일을 암호화한다. 공격자는 랜섬 노트만으로 부족하다고 생각되었는지 [그림 1]의 랜섬노트가 종료될 때 [그림 2]와 같이 ‘주의! 컴퓨터가 암호화되었다! 복구하고 싶다면 안내 파일을 확인하라!’는 내용의 메시지 창을 한 번 더 보여주며 사용자를 압박한다.
안테프리구스 랜섬웨어는 파일을 암호화한 뒤 확장자를 .qrja로 변경한다. 한 가지 특이한 점은 파일명이 한글로 되어있을 경우, 파일을 암호화하기는 하지만 확장자는 변경하지 못하는 것으로 확인됐다. 그러나 확장자가 변경되지 않더라도 암호화된 파일은 쓸 수 없으므로 감염되지 않도록 주의해야 하며, 중요한 파일은 별도로 백업해둘 필요가 있다.
또 백신 제품의 엔진 버전을 최신 버전으로 유지하고 실시간 감시 기능을 활성화(On) 해두어야 한다. 안랩의 V3 제품은 안테프리구스 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
- Trojan/Win32.MalPe
- Malware/MDP.DriveByDownload.M1153
2. 컴퓨터 정보까지 빼앗는 랜섬웨어
안테프리구스 랜섬웨어가 발견되고 하루 만에 이와 겉 모습이 같지만 감염 방식은 예전에 퍼졌던 스톱(Stop) 랜섬웨어와 비슷한 랜섬웨어가 확인됐다. 이 랜섬웨어는 파일 암호화 뒤 [그림 3]과 같이 확장자를 .mosk로 변경하고 [그림 4]와 같은 랜섬노트를 보여준다.
이 랜섬웨어는 자기 자신을 복제한 뒤 자동 실행되도록 레지스트리에 등록하며, 복제본이 지워지는 것을 막기 위해 상위 디렉토리의 접근 권한을 수정한다. 이를 통해 랜섬웨어의 복제본이 있는 폴더에 접근(액세스)이 불가능하게 하여 결과적으로 랜섬웨어를 없앨 수 없도록 한다. 그러나 현재 V3 제품은 해당 랜섬웨어를 탐지하고 치료(삭제)하고 있다.
이 랜섬웨어는 파일을 암호화할 뿐만 아니라 다수의 특정 URL에 접속해 정보 탈취형 악성코드를 추가로 내려받는 것으로 확인됐다. 추가로 내려받은 악성코드는 사용자 컴퓨터의 웹 브라우저 정보, 쿠키 정보 등을 빼앗아 공격자의 서버(C&C)로 전송한 뒤 자기 자신을 지운다.
현재 안랩 V3에서는 이 랜섬웨어와 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
- Trojan/Win32.AnteCrab (2019.11.08.04)
- Malware/MDP.Ransom.M1171
3. 정상 파일로 위장한 최신 랜섬웨어
지난 11월 10일, 파일 암호화 뒤 확장자를 .bigbosshorse로 변경하는 랜섬웨어에 의한 국내 피해 사례가 확인됐다. 분석 결과, 지난 10월 29일에 만든 이 랜섬웨어는 윈도우 시스템 파일(dllhost.exe)로 위장해 국내에 퍼졌다. 그런데 동일한 날짜에 만들어진 또 다른 랜섬웨어가 특정 백신 프로그램 관련 파일(avgdiagex.exe)로 위장해 나라밖에서 유포된 것이 확인됐다.
이 랜섬웨어의 가장 큰 특징은 감염 컴푸터의 언어를 확인하는 코드를 갖고 있다. 해당 코드를 이용해 운영체제의 언어가 러시아어나 카자흐스탄어 등 특정 지역의 언어 환경일 경우 악성 행위를 수행하지 않고 종료된다.
안랩의 분석 당시, 거의 알려지지 않은 신종 랜섬웨어였던 이 랜섬웨어에 대해 V3 제품은 행위 기반 탐지 기법으로 사전 차단하고 [그림 8]과 같은 알림창을 제공한다.
현재 안랩 V3 제품군은 이 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
Malware/Win32.Ransom.R298611 (2019.11.11.07)
Malware/MDP.SystemManipulation.M1751
Malware/MDP.Ransom.M1946
이밖에도 11월 12일에는 또 다시 입사 지원서를 사칭해 한글 문서 파일로 위장한 실행 파일 형태(.hwp.exe)의 랜섬웨어가 국내 기업을 타깃으로 유포되기도 했다. 공격자는 악성 파일의 실제 정체(확장자)를 숨기기 위해 [그림 9]와 같이 파일명에 아주 긴 공백을 추가해 두었다.
최근 또 다시 나타나고 있는 랜섬웨어들은 익스플로잇킷(Exploit Kit)과 수신자의 관심 분야와 관련된 내용으로 위장하는 사회공학기법 등 다양한 공격 기법과 유포 방식을 사용하고 있다. 따라서 의심스러운 누리집에 접속하지 않도록 유의해야 하며, 발신자를 알 수 없는 메일이나 첨부 파일은 열어보지 않는 것이 좋다.
한편, 위에서 살펴본 안테프리구스(AnteFrigus, .qrja 확장자) 랜섬웨어나 .mosk 랜섬웨어는 블루크랩 랜섬웨어(일명 Sodinokibi)와 같은 모습을 하고 있는 것으로 보아 동일한 제작자 또는 유포자가 여러 랜섬웨어를 퍼뜨리고 있는 것으로 추정된다. 따라서 기업 보안 관리자는 최신 랜섬웨어의 특징 정보를 파악하여 취약점 패치나 백신 엔진 업데이트 등 기본적인 대비에 충실해야만 한다.
블루크랩 랜섬웨어 유포 방식의 변화 등 최신 랜섬웨어에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC) 블로그에서 확인할 수 있다.
이밖에도 11월 12일에는 또 다시 입사 지원서를 사칭해 한글 문서 파일로 위장한 실행 파일 형태(.hwp.exe)의 랜섬웨어가 국내 기업을 표적으로 퍼지기도 했다. 공격자는 악성 파일의 실제 정체(확장자)를 숨기기 위해 [그림 9]와 같이 파일명에 아주 긴 공백을 추가해 두었다.
