최신 정보

보안 / 해킹 [긴급] 국내 URL 통해 감염, 랜섬웨어 ‘스페셜리스트’ 출현

2019.05.02 19:45

루돌프가슴커 조회:1276

국내 URL 접속시 감염되는 랜섬웨어, 이전 마이랜섬 유포지에서 새롭게 유포
순천향대 SCH사이버보안연구센터, 멀버타이징 방식으로 유포이라며 주의 당부
[보안뉴스 권 준 기자] 최근 국내 URL을 통해 랜섬웨어를 감염시키는 신종 랜섬웨어 ‘스페셜리스트(specialist)’가 출현했다. 순천향대 SCH사이버보안연구센터(센터장: 정보보호학과 염흥열 교수)는 신종 ‘스페셜리스트’ 랜섬웨어 악성코드가 국내 URL을 통해 유포되고 있다고 경고했다.
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터에 따르면 해당 랜섬웨어는 이전의 마이랜섬(MyRansom) 랜섬웨어와 동일하게 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와 다른 형태의 신종 랜섬웨어로 판단해 ‘스페셜리스트’ 랜섬웨어라고 명명했다.
▲‘스페셜리스트’ 랜섬웨어 악성코드의 비트코인 지불 금액 및 지불 방법과 파일 복호화에 대한 내용이 담겨있는 문구[이미지=순천향대 SCH사이버보안연구센터]
익스플로잇은 서버에 접근하는 이용자 컴퓨터의 취약성이 존재할 경우, 해당 취약성을 이용해 악성코드를 이용자 컴퓨터에 다운로드하고 실행해 감염시키는 프로그램으로, 매그니튜드 익스플로잇도 다양한 익스플로잇 중 하나로 볼 수 있다.
또한, 랜섬웨어 유포에 활발하게 사용되는 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다.
SCH사이버보안연구센터는 29일부터 국내 웹사이트에서 신종 ‘스페셜리스트’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘스페셜리스트’는 2017년부터 유포됐던 마이랜섬 랜섬웨어와 아주 유사한 특성을 보이고 있다. ‘스페셜리스트’가 드라이브 바이 다운로드 형태로 유포되고 있으며, 이전에 마이랜섬 랜섬웨어가 유포됐던 URL에서 ‘스페셜리스트’가 유포됐기 때문이다.
마이랜섬 랜섬웨어의 경우 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 복호화가 가능한 ‘마이디크립터(My Decryptor)’를 구매하라는 창을 띄운다.
반면, 이번에 발견된 ‘스페셜리스트’ 랜섬웨어 악성코드는 감염되고 나면 바탕화면을 바꿔 감염 사실을 알리고 랜섬노트에 따라 비트코인을 지불해 ‘스페셜 소프트웨어 디크립터(special-software-Decryptor)’를 구매하도록 유도하며, 랜섬노트에서 자신들을 스페셜리스트라 칭한다. 이를 근거로 센터측은 해당 랜섬웨어를 ‘스페셜리스트’로 명명했다.
▲‘스페셜리스트’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]
▲‘스페셜리스트’ 랜섬웨어 랜섬노트 내 자신들을 스페셜리스트라 칭함[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC 내 다양한 파일을 암호화한다. 공격 대상 파일 가운데 아래한글(*.hwp) 파일도 포함되어 있어 국내 사용자들도 목표로 하고 있는 것으로 추정된다.
‘스페셜리스트’ 랜섬웨어 악성코드는 마이랜섬 악성코드와 동일하게 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 랜섬웨어는 암호화 이후 파일 확장자로 ‘erb56558m’, ‘ko54d6e404’ 등을 이용하고 있다고 밝혔다.
또한, 변경되는 바탕화면 파일을 악성코드 감염 이후 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘스페셜리스트’ 랜섬웨어는 ‘yr64dx2q’, ‘3gd2’ 등을 이용하고 있다고 밝혔다.
▲‘OOO’ 랜섬웨어의 랜섬노트 화면[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC를 감염시키는 파일을 %APPDATA% 아래의 LocalLow 경로에 저장해 실행하는 것으로 보이며, 감염 사실을 알리기 위한 ‘생성확장자명-reame.txt’ 파일을 생성한다. 해당 랜섬노트는 ‘Welcome. Again’라는 문구로 시작한다.
‘스페셜리스트’ 랜섬웨어는 감염 이후 최초 7일 동안 약 0.28비트코인(한화 약 173만원)을 요구한다. 7일이 지나면 공격자가 몸값 금액을 2배 높여 약 0.56비트코인(한화 약 346만원)을 요구한다. 해당 랜섬웨어는 감염 이후 명령제어(C&C) 서버와의 통신을 감추기 위해 갠드크랩(GandCrab) 랜섬웨어처럼 다수의 IP에 접속하는 것으로 분석됐다.
센터는 이전부터 마이랜섬 랜섬웨어가 유포되던 유포지에서 새로운 ‘스페셜리스트’ 랜섬웨어 유포가 확인됐다며, 마이랜섬 계열의 랜섬웨어가 ‘스페셜리스트’ 랜섬웨어 형태로 바뀌어 유포될 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 김민재 연구생은 “이번에 발견된 ‘스페셜리스트’ 랜섬웨어는 유포방식, 유포지, 암호화 확장자명 등을 포함해 마이랜섬 랜섬웨어와 유사한 모습을 많이 보이며, 마이랜섬의 뒤를 이어 지속적으로 유포될 것으로 보인다”며, “랜섬웨어에 대한 완벽한 예방법이나 감염 이후 완벽한 복구 방법이 현실적으로 없기 때문에 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 요구된다”고 강조했다.
번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
6641 윈도우 / MS| Windows 8 KMS 불법 인증자, Microsoft 계정 차단될 수 있음 [37] 엘휘 29840 08-09
6640 MSDN 에 Windows 7 모든 통합버전이 나왔음.!! [66] biy00ss 25638 08-29
6639 소프트웨어| 리눅스 라이트 1.0.0 [11] sp별wp 23962 11-29
6638 윈도우 / MS| Windows 8 의 권장사양 입니다. [5] 고래 천사 23659 09-14
6637 윈도우 / MS| MS 알고도 모른척? '해적판 윈도우8' 영구인증 된다? [21] 어설프군YB 22487 11-23
6636 TED에서 소개된 Bing Map 해미 21644 02-14
6635 msdn 에 Windows7 서비스팩1 한글 통합판 등장 [39] 슬픔의언덕 19747 02-23
6634 윈도우 / MS| 윈도8. 윈도7 보다 많이 팔았는데 사용자는 리눅스보다 적어.. [14] 필로칼리아 18334 12-01
6633 윈도우 / MS| Microsoft Office 2019 Retail (x86 & x64) DVD [49] 디폴트 18191 09-25
6632 윈도7, 호환성 불만 갈수록 태산~ [89] Native 64 17735 11-05
6631 윈도우 / MS| 홍차의꿈 윈도우10 정발 소식 [12] 에드힐스 16994 07-28
6630 윈도우 / MS| [예상] 윈도우 8 출시일...-RTM-정식- [52] 우주선 16780 06-10
6629 CoreAVC 2.0 (for Windows) 출시. [19] 미테니사키 16778 12-21
6628 코렐, '윈집 14.5 한글' 국내 공급 [13] 미테니사키 16261 07-08
6627 소프트웨어| 한글과컴퓨터, '한컴오피스 2024' 출시 [64] 노랑통닭 16120 10-12
6626 ASUS BIOS Update [10] 뚜버기 15982 10-31
6625 대학생 윈도우 7 프로 39,900원 [105] 해미 15866 10-21
6624 윈도우 / MS| Windows 8에는 연연하지 마세요. [28] 통나무 15840 10-18
6623 윈도우 / MS| Windows 8.1 with Update 3 릴리즈 [10] 신조사협 15837 12-16
XE1.11.6 Layout1.4.8