보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

이름부터 낯선 Shifr 랜섬웨어 등장…주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-07-12
최근 신종 랜섬웨어 Shifr가 유포되고 있어 사용자들의 주의가 요구된다. 특히 이 랜섬웨어는 랜섬웨어 제작 서비스를 이용해 제작된 것으로 확인돼, 향후 랜섬웨어가 더욱 폭발적으로 증가할 가능성이 점쳐지고 있다. 

이번에 발견된 Shifr 랜섬웨어에 감염되면 [그림 1]과 같이 파일 확장명에 ‘shifr’라는 문자열이 추가된다. 

[그림 1] 암호화된 파일 확장명에 shifr 추가

이처럼 파일들에 대한 암호화가 완료되면 바탕화면에 [그림 2]와 같이 ‘ HOW_TO_DECRYPT_FILES.html’파일이 생성된다. 이 파일은 랜섬웨어 감염을 알리는 랜섬노트 파일로, 암호화된 파일이 존재하는 폴더마다 랜섬노트를 생성하는 일반적인 랜섬웨어와는 다른 점이라고 할 수 있다.

 
[그림 2] 바탕화면에 생성된 랜섬노트

바탕화면에 생성된 랜섬노트 파일의 내용을 보면 [그림 3]과 같이 ‘파일이 암호화 되었다’는 간단한 메시지만 나타나며, 파일 복구를 위해 안내 페이지(instructions)에 접속할 것을 요구한다.

 
 [그림 3] Shifr 랜섬웨어의 랜섬노트 메시지

파일 복구를 위해 연결한 안내 페이지는 토르(Tor) 네트워크에 존재한다. 토르 네트워크는 익명으로 인터넷을 연결하는 가상의 네트워크로, 주로 범죄자 및 사이버 공격자들이 추적을 어렵게 하기 위한 용도로 이용하고 있다. 

 
[그림 4] Shifr 랜섬웨어의 결제 안내 페이지

[그림 4]의 복구 안내 페이지에는 비용을 지불한 사람에게만 복호화키를 제공한다는 내용과 함께 복호화 프로그램(Decryption Program) 다운로드 버튼을 제공하고 있다. 이 복호화 프로그램을 실행하면 [그림 5]와 같이 비용 지불을 요구하며, 돈을 지불한 후에만 복호화 키를 받아서 입력할 수 있다. 

 
[그림 5] 비용 결제 후 복구키 값 입력 가능

이 Shifr 랜섬웨어가 특히 보안 전문가들의 우려를 낳고 있는 점은 이것이 랜섬웨어 서비스(Ransomware-as-a-Service, RaaS)를 통해 제작, 유포되었다는 점이다. RaaS는 일정 비용만 지불하면 랜섬웨어를 제작해주고 이후 관리까지 해주는 서비스로, 지난해부터 암시장을 통해 본격화되었다. 즉, 전문가가 아니더라도 랜섬웨어를 제작 및 유포할 수 있다는 것으로, 보안 전문가들은 최근 랜섬웨어가 전세계를 휩쓸고 있는 원인 중 하나로 이 RaaS의 본격화를 꼽고 있다. 

특히 기존의 RaaS는 비트코인 주소, 연락을 위한 이메일 주소, 암호화 후 요구할 금액, 암호화 대상 파일의 확장명, 생성할 악성코드의 확장명, 안티바이러스 제품의 진단 회피 기능 필요 여부 등 다양한 정보 입력을 요구했다. 그런데 이번 Shifr 랜섬웨어를 제작한 서비스는 몇 가지 정보만 입력하면 버튼 클릭 한 번으로 손쉽게 악성코드를 제작할 수 있는 것으로 확인돼 더 큰 우려를 낳고 있다. 

[그림 6]은 Shifr 랜섬웨어의 제작 서비스 사이트로, 비트코인을 받을 주소와 요구 금액, 캡챠(Captcha)의 3가지 정보 입력을 요구하고 있다. 이 중 캡챠는 확인을 위한 정보이므로, 사실상 서비스 제공자가 요구하는 정보는 비트코인 주소와 요구 금액 입력 2가지뿐이다.

[그림 6] Shifr 랜섬웨어의 RaaS

또한, Shifr 랜섬웨어 RaaS 제공자는 [그림 7]와 같이 수익의 10%를 수수료로 요구하고 있는데, 이는 다른 RaaS에 비해 절반 수준의 수수료이다. 

 
[그림 7] 수익의 10%를 수수료로 요구하는 Shifr 랜섬웨어의 RaaS

이와 같이 최근 들어 RaaS를 통해 랜섬웨어가 손쉽게 제작되면서 랜섬웨어가 큰 폭으로 증가하고 있는 추세다. 이미 잘 알려져 있는 것처럼 랜섬웨어는 일단 감염되면 파일 복구가 사실상 불가능하기 때문에, 특히 랜섬웨어가 급증하고 있는 상황에서는 사전 예방이 가장 중요하다. 운영체제 및 주로 사용하는 애플리케이션의 보안 업데이트를 적용하고, 중요한 데이터는 주기적으로 백업하는 등 기본적인 보안 수칙 준수를 통해 랜섬웨어 피해 예방에 만전을 기하는 것이 바람직하다. 


한편, V3 제품에서는 Shifr 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명> 
- Trojan/Win32.Ransom
  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.