최신 정보
보안 / 해킹 [긴급] 국내 URL 통해 감염, 랜섬웨어 ‘스페셜리스트’ 출현
2019.05.02 19:45
국내 URL 접속시 감염되는 랜섬웨어, 이전 마이랜섬 유포지에서 새롭게 유포
순천향대 SCH사이버보안연구센터, 멀버타이징 방식으로 유포이라며 주의 당부
[보안뉴스 권 준 기자] 최근 국내 URL을 통해 랜섬웨어를 감염시키는 신종 랜섬웨어 ‘스페셜리스트(specialist)’가 출현했다. 순천향대 SCH사이버보안연구센터(센터장: 정보보호학과 염흥열 교수)는 신종 ‘스페셜리스트’ 랜섬웨어 악성코드가 국내 URL을 통해 유포되고 있다고 경고했다.
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터에 따르면 해당 랜섬웨어는 이전의 마이랜섬(MyRansom) 랜섬웨어와 동일하게 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와 다른 형태의 신종 랜섬웨어로 판단해 ‘스페셜리스트’ 랜섬웨어라고 명명했다.
▲‘스페셜리스트’ 랜섬웨어 악성코드의 비트코인 지불 금액 및 지불 방법과 파일 복호화에 대한 내용이 담겨있는 문구[이미지=순천향대 SCH사이버보안연구센터]
익스플로잇은 서버에 접근하는 이용자 컴퓨터의 취약성이 존재할 경우, 해당 취약성을 이용해 악성코드를 이용자 컴퓨터에 다운로드하고 실행해 감염시키는 프로그램으로, 매그니튜드 익스플로잇도 다양한 익스플로잇 중 하나로 볼 수 있다.
또한, 랜섬웨어 유포에 활발하게 사용되는 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다.
SCH사이버보안연구센터는 29일부터 국내 웹사이트에서 신종 ‘스페셜리스트’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘스페셜리스트’는 2017년부터 유포됐던 마이랜섬 랜섬웨어와 아주 유사한 특성을 보이고 있다. ‘스페셜리스트’가 드라이브 바이 다운로드 형태로 유포되고 있으며, 이전에 마이랜섬 랜섬웨어가 유포됐던 URL에서 ‘스페셜리스트’가 유포됐기 때문이다.
마이랜섬 랜섬웨어의 경우 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 복호화가 가능한 ‘마이디크립터(My Decryptor)’를 구매하라는 창을 띄운다.
반면, 이번에 발견된 ‘스페셜리스트’ 랜섬웨어 악성코드는 감염되고 나면 바탕화면을 바꿔 감염 사실을 알리고 랜섬노트에 따라 비트코인을 지불해 ‘스페셜 소프트웨어 디크립터(special-software-Decryptor)’를 구매하도록 유도하며, 랜섬노트에서 자신들을 스페셜리스트라 칭한다. 이를 근거로 센터측은 해당 랜섬웨어를 ‘스페셜리스트’로 명명했다.
▲‘스페셜리스트’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]
▲‘스페셜리스트’ 랜섬웨어 랜섬노트 내 자신들을 스페셜리스트라 칭함[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC 내 다양한 파일을 암호화한다. 공격 대상 파일 가운데 아래한글(*.hwp) 파일도 포함되어 있어 국내 사용자들도 목표로 하고 있는 것으로 추정된다.
‘스페셜리스트’ 랜섬웨어 악성코드는 마이랜섬 악성코드와 동일하게 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 랜섬웨어는 암호화 이후 파일 확장자로 ‘erb56558m’, ‘ko54d6e404’ 등을 이용하고 있다고 밝혔다.
또한, 변경되는 바탕화면 파일을 악성코드 감염 이후 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘스페셜리스트’ 랜섬웨어는 ‘yr64dx2q’, ‘3gd2’ 등을 이용하고 있다고 밝혔다.
▲‘OOO’ 랜섬웨어의 랜섬노트 화면[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC를 감염시키는 파일을 %APPDATA% 아래의 LocalLow 경로에 저장해 실행하는 것으로 보이며, 감염 사실을 알리기 위한 ‘생성확장자명-reame.txt’ 파일을 생성한다. 해당 랜섬노트는 ‘Welcome. Again’라는 문구로 시작한다.
‘스페셜리스트’ 랜섬웨어는 감염 이후 최초 7일 동안 약 0.28비트코인(한화 약 173만원)을 요구한다. 7일이 지나면 공격자가 몸값 금액을 2배 높여 약 0.56비트코인(한화 약 346만원)을 요구한다. 해당 랜섬웨어는 감염 이후 명령제어(C&C) 서버와의 통신을 감추기 위해 갠드크랩(GandCrab) 랜섬웨어처럼 다수의 IP에 접속하는 것으로 분석됐다.
센터는 이전부터 마이랜섬 랜섬웨어가 유포되던 유포지에서 새로운 ‘스페셜리스트’ 랜섬웨어 유포가 확인됐다며, 마이랜섬 계열의 랜섬웨어가 ‘스페셜리스트’ 랜섬웨어 형태로 바뀌어 유포될 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 김민재 연구생은 “이번에 발견된 ‘스페셜리스트’ 랜섬웨어는 유포방식, 유포지, 암호화 확장자명 등을 포함해 마이랜섬 랜섬웨어와 유사한 모습을 많이 보이며, 마이랜섬의 뒤를 이어 지속적으로 유포될 것으로 보인다”며, “랜섬웨어에 대한 완벽한 예방법이나 감염 이후 완벽한 복구 방법이 현실적으로 없기 때문에 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 요구된다”고 강조했다.
순천향대 SCH사이버보안연구센터, 멀버타이징 방식으로 유포이라며 주의 당부
[보안뉴스 권 준 기자] 최근 국내 URL을 통해 랜섬웨어를 감염시키는 신종 랜섬웨어 ‘스페셜리스트(specialist)’가 출현했다. 순천향대 SCH사이버보안연구센터(센터장: 정보보호학과 염흥열 교수)는 신종 ‘스페셜리스트’ 랜섬웨어 악성코드가 국내 URL을 통해 유포되고 있다고 경고했다.
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터에 따르면 해당 랜섬웨어는 이전의 마이랜섬(MyRansom) 랜섬웨어와 동일하게 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와 다른 형태의 신종 랜섬웨어로 판단해 ‘스페셜리스트’ 랜섬웨어라고 명명했다.
▲‘스페셜리스트’ 랜섬웨어 악성코드의 비트코인 지불 금액 및 지불 방법과 파일 복호화에 대한 내용이 담겨있는 문구[이미지=순천향대 SCH사이버보안연구센터]
익스플로잇은 서버에 접근하는 이용자 컴퓨터의 취약성이 존재할 경우, 해당 취약성을 이용해 악성코드를 이용자 컴퓨터에 다운로드하고 실행해 감염시키는 프로그램으로, 매그니튜드 익스플로잇도 다양한 익스플로잇 중 하나로 볼 수 있다.
또한, 랜섬웨어 유포에 활발하게 사용되는 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다.
SCH사이버보안연구센터는 29일부터 국내 웹사이트에서 신종 ‘스페셜리스트’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘스페셜리스트’는 2017년부터 유포됐던 마이랜섬 랜섬웨어와 아주 유사한 특성을 보이고 있다. ‘스페셜리스트’가 드라이브 바이 다운로드 형태로 유포되고 있으며, 이전에 마이랜섬 랜섬웨어가 유포됐던 URL에서 ‘스페셜리스트’가 유포됐기 때문이다.
마이랜섬 랜섬웨어의 경우 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 복호화가 가능한 ‘마이디크립터(My Decryptor)’를 구매하라는 창을 띄운다.
반면, 이번에 발견된 ‘스페셜리스트’ 랜섬웨어 악성코드는 감염되고 나면 바탕화면을 바꿔 감염 사실을 알리고 랜섬노트에 따라 비트코인을 지불해 ‘스페셜 소프트웨어 디크립터(special-software-Decryptor)’를 구매하도록 유도하며, 랜섬노트에서 자신들을 스페셜리스트라 칭한다. 이를 근거로 센터측은 해당 랜섬웨어를 ‘스페셜리스트’로 명명했다.
▲‘스페셜리스트’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]
▲‘스페셜리스트’ 랜섬웨어 랜섬노트 내 자신들을 스페셜리스트라 칭함[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC 내 다양한 파일을 암호화한다. 공격 대상 파일 가운데 아래한글(*.hwp) 파일도 포함되어 있어 국내 사용자들도 목표로 하고 있는 것으로 추정된다.
‘스페셜리스트’ 랜섬웨어 악성코드는 마이랜섬 악성코드와 동일하게 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 랜섬웨어는 암호화 이후 파일 확장자로 ‘erb56558m’, ‘ko54d6e404’ 등을 이용하고 있다고 밝혔다.
또한, 변경되는 바탕화면 파일을 악성코드 감염 이후 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘스페셜리스트’ 랜섬웨어는 ‘yr64dx2q’, ‘3gd2’ 등을 이용하고 있다고 밝혔다.
▲‘OOO’ 랜섬웨어의 랜섬노트 화면[이미지=순천향대 SCH사이버보안연구센터]
‘스페셜리스트’ 랜섬웨어는 피해 PC를 감염시키는 파일을 %APPDATA% 아래의 LocalLow 경로에 저장해 실행하는 것으로 보이며, 감염 사실을 알리기 위한 ‘생성확장자명-reame.txt’ 파일을 생성한다. 해당 랜섬노트는 ‘Welcome. Again’라는 문구로 시작한다.
‘스페셜리스트’ 랜섬웨어는 감염 이후 최초 7일 동안 약 0.28비트코인(한화 약 173만원)을 요구한다. 7일이 지나면 공격자가 몸값 금액을 2배 높여 약 0.56비트코인(한화 약 346만원)을 요구한다. 해당 랜섬웨어는 감염 이후 명령제어(C&C) 서버와의 통신을 감추기 위해 갠드크랩(GandCrab) 랜섬웨어처럼 다수의 IP에 접속하는 것으로 분석됐다.
센터는 이전부터 마이랜섬 랜섬웨어가 유포되던 유포지에서 새로운 ‘스페셜리스트’ 랜섬웨어 유포가 확인됐다며, 마이랜섬 계열의 랜섬웨어가 ‘스페셜리스트’ 랜섬웨어 형태로 바뀌어 유포될 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 김민재 연구생은 “이번에 발견된 ‘스페셜리스트’ 랜섬웨어는 유포방식, 유포지, 암호화 확장자명 등을 포함해 마이랜섬 랜섬웨어와 유사한 모습을 많이 보이며, 마이랜섬의 뒤를 이어 지속적으로 유포될 것으로 보인다”며, “랜섬웨어에 대한 완벽한 예방법이나 감염 이후 완벽한 복구 방법이 현실적으로 없기 때문에 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 요구된다”고 강조했다.
댓글 [1]
-
굿듀님스토커 2019.05.11 17:47
어느 사이트에서 감염되는지 안나오네요 한번 들어가보고 싶은데 ㅋ