최신 정보

보안 / 해킹 [긴급] 국내 URL 통해 감염, 랜섬웨어 ‘스페셜리스트’ 출현

2019.05.02 19:45

루돌프가슴커 조회:1276

국내 URL 접속시 감염되는 랜섬웨어, 이전 마이랜섬 유포지에서 새롭게 유포
순천향대 SCH사이버보안연구센터, 멀버타이징 방식으로 유포이라며 주의 당부
[보안뉴스 권 준 기자] 최근 국내 URL을 통해 랜섬웨어를 감염시키는 신종 랜섬웨어 ‘스페셜리스트(specialist)’가 출현했다. 순천향대 SCH사이버보안연구센터(센터장: 정보보호학과 염흥열 교수)는 신종 ‘스페셜리스트’ 랜섬웨어 악성코드가 국내 URL을 통해 유포되고 있다고 경고했다.
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터에 따르면 해당 랜섬웨어는 이전의 마이랜섬(MyRansom) 랜섬웨어와 동일하게 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와 다른 형태의 신종 랜섬웨어로 판단해 ‘스페셜리스트’ 랜섬웨어라고 명명했다.
▲‘스페셜리스트’ 랜섬웨어 악성코드의 비트코인 지불 금액 및 지불 방법과 파일 복호화에 대한 내용이 담겨있는 문구[이미지=순천향대 SCH사이버보안연구센터]
익스플로잇은 서버에 접근하는 이용자 컴퓨터의 취약성이 존재할 경우, 해당 취약성을 이용해 악성코드를 이용자 컴퓨터에 다운로드하고 실행해 감염시키는 프로그램으로, 매그니튜드 익스플로잇도 다양한 익스플로잇 중 하나로 볼 수 있다.
또한, 랜섬웨어 유포에 활발하게 사용되는 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다.
SCH사이버보안연구센터는 29일부터 국내 웹사이트에서 신종 ‘스페셜리스트’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘스페셜리스트’는 2017년부터 유포됐던 마이랜섬 랜섬웨어와 아주 유사한 특성을 보이고 있다. ‘스페셜리스트’가 드라이브 바이 다운로드 형태로 유포되고 있으며, 이전에 마이랜섬 랜섬웨어가 유포됐던 URL에서 ‘스페셜리스트’가 유포됐기 때문이다.
마이랜섬 랜섬웨어의 경우 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 복호화가 가능한 ‘마이디크립터(My Decryptor)’를 구매하라는 창을 띄운다.
반면, 이번에 발견된 ‘스페셜리스트’ 랜섬웨어 악성코드는 감염되고 나면 바탕화면을 바꿔 감염 사실을 알리고 랜섬노트에 따라 비트코인을 지불해 ‘스페셜 소프트웨어 디크립터(special-software-Decryptor)’를 구매하도록 유도하며, 랜섬노트에서 자신들을 스페셜리스트라 칭한다. 이를 근거로 센터측은 해당 랜섬웨어를 ‘스페셜리스트’로 명명했다.
▲‘스페셜리스트’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]
▲‘스페셜리스트’ 랜섬웨어 랜섬노트 내 자신들을 스페셜리스트라 칭함[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC 내 다양한 파일을 암호화한다. 공격 대상 파일 가운데 아래한글(*.hwp) 파일도 포함되어 있어 국내 사용자들도 목표로 하고 있는 것으로 추정된다.
‘스페셜리스트’ 랜섬웨어 악성코드는 마이랜섬 악성코드와 동일하게 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 랜섬웨어는 암호화 이후 파일 확장자로 ‘erb56558m’, ‘ko54d6e404’ 등을 이용하고 있다고 밝혔다.
또한, 변경되는 바탕화면 파일을 악성코드 감염 이후 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘스페셜리스트’ 랜섬웨어는 ‘yr64dx2q’, ‘3gd2’ 등을 이용하고 있다고 밝혔다.
▲‘OOO’ 랜섬웨어의 랜섬노트 화면[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC를 감염시키는 파일을 %APPDATA% 아래의 LocalLow 경로에 저장해 실행하는 것으로 보이며, 감염 사실을 알리기 위한 ‘생성확장자명-reame.txt’ 파일을 생성한다. 해당 랜섬노트는 ‘Welcome. Again’라는 문구로 시작한다.
‘스페셜리스트’ 랜섬웨어는 감염 이후 최초 7일 동안 약 0.28비트코인(한화 약 173만원)을 요구한다. 7일이 지나면 공격자가 몸값 금액을 2배 높여 약 0.56비트코인(한화 약 346만원)을 요구한다. 해당 랜섬웨어는 감염 이후 명령제어(C&C) 서버와의 통신을 감추기 위해 갠드크랩(GandCrab) 랜섬웨어처럼 다수의 IP에 접속하는 것으로 분석됐다.
센터는 이전부터 마이랜섬 랜섬웨어가 유포되던 유포지에서 새로운 ‘스페셜리스트’ 랜섬웨어 유포가 확인됐다며, 마이랜섬 계열의 랜섬웨어가 ‘스페셜리스트’ 랜섬웨어 형태로 바뀌어 유포될 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 김민재 연구생은 “이번에 발견된 ‘스페셜리스트’ 랜섬웨어는 유포방식, 유포지, 암호화 확장자명 등을 포함해 마이랜섬 랜섬웨어와 유사한 모습을 많이 보이며, 마이랜섬의 뒤를 이어 지속적으로 유포될 것으로 보인다”며, “랜섬웨어에 대한 완벽한 예방법이나 감염 이후 완벽한 복구 방법이 현실적으로 없기 때문에 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 요구된다”고 강조했다.
번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
1051 차세대 브라우저 IE8 성적, ‘아직 신통치 않다’ 김영식 1407 03-24
1050 출시 1년, '고급화' 속에 길잃은 아톰 프로세서 무영랑 1406 05-08
1049 윈도우 7: UAC 빈도 비스타보다 29% 감소 [1] twicks 1406 04-21
1048 도시바 '내추럴 레더' 디자인 '포테제 M900' 노트북 출시 무영랑 1405 09-10
1047 Windows 7 RC, 정식 출시 '초읽기' 들어가 [2] 썩은과자 1405 04-28
1046 정녕.. 종이책의 시대는 가는건가? 봇물터진 E북 qwerty 1405 04-14
1045 검색의 한계를 뛰어넘는 디스커버리 기술은 어떤 것? 그리즐러 1404 09-09
1044 ‘HDD 복구・ 증거 확보’ 위한 개인용 디지털 포렌식 ... 142857 1404 07-24
1043 윈도7 사용자 계정 컨트롤 비스타보다 낫다 [1] 창문일곱르 1403 08-12
1042 비아코, 아이온 기반 전원 내장형 메인보드 출시 [2] 연금술사 1403 07-20
1041 2009년 가장 기대되는 초소형 노트북 및 넷북 10선 던킨 1403 06-16
1040 MS, IE8 자동업데이트로 구 버전 사용자 유도 김영식 1403 04-15
1039 소프트웨어| StartAllBack 3.6.14.4767/4769 오작동 [3] LastLife 1402 10-23
1038 모 바 일| 애플워치 한국 출시도 멀지 않았나 봅니다 애널리스트 1402 05-08
1037 MS-야후, 1년 만에 화해 모드로 협력 논의 김영식 1402 04-15
1036 윈도우 / MS| 올해 출시 예정인 Windows 11 Sun Valley 2 업데이트의 새... [1] VᴇɴᴜꜱGɪ 1401 02-08
1035 보안 / 해킹| 트위터 '내부부터 털렸다' 시인…관리자 해킹당한 듯 [1] 미소체리 1401 07-16
1034 "페이스북 '앱' 사용자 개인정보 유출"(WSJ) 미테니사키 1401 10-19
1033 윈도우 7에 원격 미디어 스트리밍 기능도 추가 민경준 1401 04-28
1032 윈도우 / MS| Microsoft는 베타 채널에 Windows 11 Build 22000.526(KB50... [1] VᴇɴᴜꜱGɪ 1400 02-12
XE1.11.6 Layout1.4.8