[보안 포커스]비트코인을 요구하는 변형 랜섬웨어
지난 2월경 발견된 랜섬웨어 악성코드의 변형이 발견돼 사용자들의 주의가 요구된다.
[그림 1] 실행 후 시작파일 등록 등 여러 행위 수행
해당 악성코드가 실행되면 시작 파일에 등록한 후 시스템 복구 기능, 윈도 보안센터 서비스, 자동 업데이트 등을 끔으로써 해당 PC의 보안 취약성을 높인 후 [표 1]과 같은 파일 확장자를 가진 파일들을 암호화시킨다.
[표 1] 암호화 대상 파일 확장자
이 과정에서 기존에 확장자를 바꿨던 악성코드와 다르게 현재 파일명 그대로 유지하며 암호화한다.
[그림 2]암호화된 파일명 비교
기존의 랜섬웨어에는 시스템 복원이 유일한 복구 방법이었다면 변형된 랜섬웨어의 경우 시스템 복원 기능을 비활성화하고 삭제하므로 시스템 복원은 불가능하다.
[그림 3]시스템 복원 폴더 수정 및 삭제
[그림 4]시스템 복원 시도시 오류 발생
암호화된 파일의 각 폴더 안에 결제 및 복구에 대한 정보를 TXT와 HTML로 생성하여 결제를 유도한다.
[그림 5]복구 가이드를 안내하는 TXT 파일
복구 가이드에 나와 있는 인증 코드 페이지에 접속하면 [그림 6]과 같은 페이지에 비트코인 500유로를 요구한다. 일정 기간이 지나면 2배가 늘어난 1000유로를 지불해야 한다는 문구도 제시돼 있다.
[그림6]복구사이트 접속
이전과는 달리 한 번의 복구 기회를 주고 해당 파일을 업로드 하면 복구가 가능하다.
[그림7]한 번의 파일 복구 지원
이후에는 결제를 통해 복구툴을 제공하여 복구를 진행한다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단한다. @
- AhnLab
