최신 정보

보안 / 해킹 [긴급] 국내 URL 통해 감염, 랜섬웨어 ‘스페셜리스트’ 출현

2019.05.02 19:45

루돌프가슴커 조회:1276

국내 URL 접속시 감염되는 랜섬웨어, 이전 마이랜섬 유포지에서 새롭게 유포
순천향대 SCH사이버보안연구센터, 멀버타이징 방식으로 유포이라며 주의 당부
[보안뉴스 권 준 기자] 최근 국내 URL을 통해 랜섬웨어를 감염시키는 신종 랜섬웨어 ‘스페셜리스트(specialist)’가 출현했다. 순천향대 SCH사이버보안연구센터(센터장: 정보보호학과 염흥열 교수)는 신종 ‘스페셜리스트’ 랜섬웨어 악성코드가 국내 URL을 통해 유포되고 있다고 경고했다.
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터에 따르면 해당 랜섬웨어는 이전의 마이랜섬(MyRansom) 랜섬웨어와 동일하게 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와 다른 형태의 신종 랜섬웨어로 판단해 ‘스페셜리스트’ 랜섬웨어라고 명명했다.
▲‘스페셜리스트’ 랜섬웨어 악성코드의 비트코인 지불 금액 및 지불 방법과 파일 복호화에 대한 내용이 담겨있는 문구[이미지=순천향대 SCH사이버보안연구센터]
익스플로잇은 서버에 접근하는 이용자 컴퓨터의 취약성이 존재할 경우, 해당 취약성을 이용해 악성코드를 이용자 컴퓨터에 다운로드하고 실행해 감염시키는 프로그램으로, 매그니튜드 익스플로잇도 다양한 익스플로잇 중 하나로 볼 수 있다.
또한, 랜섬웨어 유포에 활발하게 사용되는 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다.
SCH사이버보안연구센터는 29일부터 국내 웹사이트에서 신종 ‘스페셜리스트’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘스페셜리스트’는 2017년부터 유포됐던 마이랜섬 랜섬웨어와 아주 유사한 특성을 보이고 있다. ‘스페셜리스트’가 드라이브 바이 다운로드 형태로 유포되고 있으며, 이전에 마이랜섬 랜섬웨어가 유포됐던 URL에서 ‘스페셜리스트’가 유포됐기 때문이다.
마이랜섬 랜섬웨어의 경우 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 복호화가 가능한 ‘마이디크립터(My Decryptor)’를 구매하라는 창을 띄운다.
반면, 이번에 발견된 ‘스페셜리스트’ 랜섬웨어 악성코드는 감염되고 나면 바탕화면을 바꿔 감염 사실을 알리고 랜섬노트에 따라 비트코인을 지불해 ‘스페셜 소프트웨어 디크립터(special-software-Decryptor)’를 구매하도록 유도하며, 랜섬노트에서 자신들을 스페셜리스트라 칭한다. 이를 근거로 센터측은 해당 랜섬웨어를 ‘스페셜리스트’로 명명했다.
▲‘스페셜리스트’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]
▲‘스페셜리스트’ 랜섬웨어 랜섬노트 내 자신들을 스페셜리스트라 칭함[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC 내 다양한 파일을 암호화한다. 공격 대상 파일 가운데 아래한글(*.hwp) 파일도 포함되어 있어 국내 사용자들도 목표로 하고 있는 것으로 추정된다.
‘스페셜리스트’ 랜섬웨어 악성코드는 마이랜섬 악성코드와 동일하게 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 랜섬웨어는 암호화 이후 파일 확장자로 ‘erb56558m’, ‘ko54d6e404’ 등을 이용하고 있다고 밝혔다.
또한, 변경되는 바탕화면 파일을 악성코드 감염 이후 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘스페셜리스트’ 랜섬웨어는 ‘yr64dx2q’, ‘3gd2’ 등을 이용하고 있다고 밝혔다.
▲‘OOO’ 랜섬웨어의 랜섬노트 화면[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC를 감염시키는 파일을 %APPDATA% 아래의 LocalLow 경로에 저장해 실행하는 것으로 보이며, 감염 사실을 알리기 위한 ‘생성확장자명-reame.txt’ 파일을 생성한다. 해당 랜섬노트는 ‘Welcome. Again’라는 문구로 시작한다.
‘스페셜리스트’ 랜섬웨어는 감염 이후 최초 7일 동안 약 0.28비트코인(한화 약 173만원)을 요구한다. 7일이 지나면 공격자가 몸값 금액을 2배 높여 약 0.56비트코인(한화 약 346만원)을 요구한다. 해당 랜섬웨어는 감염 이후 명령제어(C&C) 서버와의 통신을 감추기 위해 갠드크랩(GandCrab) 랜섬웨어처럼 다수의 IP에 접속하는 것으로 분석됐다.
센터는 이전부터 마이랜섬 랜섬웨어가 유포되던 유포지에서 새로운 ‘스페셜리스트’ 랜섬웨어 유포가 확인됐다며, 마이랜섬 계열의 랜섬웨어가 ‘스페셜리스트’ 랜섬웨어 형태로 바뀌어 유포될 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 김민재 연구생은 “이번에 발견된 ‘스페셜리스트’ 랜섬웨어는 유포방식, 유포지, 암호화 확장자명 등을 포함해 마이랜섬 랜섬웨어와 유사한 모습을 많이 보이며, 마이랜섬의 뒤를 이어 지속적으로 유포될 것으로 보인다”며, “랜섬웨어에 대한 완벽한 예방법이나 감염 이후 완벽한 복구 방법이 현실적으로 없기 때문에 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 요구된다”고 강조했다.
번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
6622 모 바 일| 애플 iOS 17.3 / iPadOS 17.3 / watchOS 10.3 / tvOS 17.3 ... asklee 762 01-23
6621 서버 / IT| 리눅스 OS - MX-23.2 “Libretto” 배포 [1] VᴇɴᴜꜱGɪ 794 01-22
6620 윈도우 / MS| Windows 11 및 10 장치에서 Microsoft 계정 "이미 있... VᴇɴᴜꜱGɪ 1931 01-21
6619 윈도우 / MS| Microsoft에서 최신 업데이트가 포함된 새로운 무료 Window... [1] VᴇɴᴜꜱGɪ 1863 01-21
6618 윈도우 / MS| 이제 Windows 11이 M3 Mac에서 공식적으로 지원됩니다 [2] VᴇɴᴜꜱGɪ 909 01-21
6617 윈도우 / MS| 마이크로소프트, 윈도우 '12' AI PC에 16GB RAM 기준선 설... [1] VᴇɴᴜꜱGɪ 1267 01-21
6616 서버 / IT| 리눅스 OS - Linux Mint 21.3 'Virginia" 배포 [2] VᴇɴᴜꜱGɪ 1421 01-11
6615 하드웨어| Wifi 7 표준 인준 [13] 천경지위 2085 01-10
6614 서버 / IT| 리눅스 OS - Solus 4.5 배포 VᴇɴᴜꜱGɪ 825 01-09
6613 업체 소식| 곰랩이지패스 서비스 오픈 Security_Z 2123 01-03
6612 소프트웨어| 세븐팀 님 블로그에 인공지능 바둑 최신버전 올라왔네요 [6] 또띵깡 2520 01-01
6611 소프트웨어| AOMEI Christmas Giveaway 2023: $681 Valued [8] 토니 2565 12-24
6610 서버 / IT| 리눅스 OS - Manjaro Linux 23.1.1-231223 정식 배포 VᴇɴᴜꜱGɪ 821 12-23
6609 윈도우 / MS| Microsoft는 최신 Windows 11 업데이트에서 Wi-Fi 문제를 ... VᴇɴᴜꜱGɪ 2959 12-21
6608 서버 / IT| Linux OS - Zorin OS 17 배포 [8] VᴇɴᴜꜱGɪ 1244 12-21
6607 모 바 일| iOS 17.2.1 발표 [1] asklee 803 12-21
6606 업체 소식| 알뜰폰 통신사 미니데이터센터 MDC 사업시작에 이어 제4이... [2] birdtree 731 12-21
6605 윈도우 / MS| 마이크로소프트는 2023년에 16개의 다른 Windows 11 기능을... [2] VᴇɴᴜꜱGɪ 2623 12-18
6604 윈도우 / MS| MS Windows 11 23H2 빌드 22631.2861 - 공식 최신 ISO 이미... VᴇɴᴜꜱGɪ 1843 12-18
6603 윈도우 / MS| Microsoft는 Windows 11 및 향후 릴리스에서 레거시 콘솔 ... VᴇɴᴜꜱGɪ 545 12-18
XE1.11.6 Layout1.4.8