본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

국내 유명 프로그램으로 위장한 랜섬웨어 등장?!

by 파스칼바이런 2016. 9. 2.

국내 유명 프로그램으로 위장한 랜섬웨어 등장?!

AhnLab / 2016-08-31

 

 

 

 

최근 전세계적으로 랜섬웨어가 급증함에 따라 이에 대응하기 위해 보안 업체를 중심으로 분석과 기술 개발이 활발하게 이뤄지고 있다. 또한 보안 관련 기관이나 개발자 등 IT 보안에 관심이 많은 사용자를 중심으로 랜섬웨어 분석을 위한 정보나 소스코드도 종종 공유되고 있다. 그런데 최근 공유된 소스코드를 이용해 제작된 랜섬웨어가 발견됐다. 8월 중순 현재 해당 랜섬웨어에 의한 피해 사례가 보고되지는 않았으나 피해를 미연에 방지하기 위해 해당 랜섬웨어를 살펴본다.

 

안랩이 자사 클라우드 기반 위협 분석 시스템인 ASD(AhnLab Smart Defense)를 통해 수집한 이 랜섬웨어는 [그림 1]과 같이 국내 유명 메신저 프로그램의 아이콘과 파일명으로 위장하고 있다.

 

 

[그림 1] KakaoTalk.exe 파일로로 위장한 랜섬웨어

 

 

해당 파일은 오픈소스를 이용해 제작된 것으로, C&C 서버와 통신하여 암호화 키(key)를 받아오는 일반적인 랜섬웨어와 달리 코드 내부에서 암호화 키를 생성하여 파일을 암호화 한다. 해당 소스코드 제작자는 [그림 2]와 같이 교육용으로만 이용할 수 있으며, 악의적인 랜섬웨어 제작에 이용할 경우 법적으로 처벌받을 수 있다고 강조하고 있다. 그러나 해당 소스코드는 최근 유포된 ‘포켓몬 고(Pokemon Go)’ 게임으로 위장한 랜섬웨어 제작에도 악용된 것으로 보인다.

 

 

[그림 2] 오픈소스 제작자의 권고 (*출처: https://github.com/goliate/hidden-tear)

 

 

이번에 발견된 랜섬웨어가 실행되면 [표 1]의 확장자를 가진 파일들에 대해 암호화를 진행하며, 암호화된 파일의 확장명에 [그림 3]과 같이 ‘암호화됨’이라는 한글이 추가된다.

 

 

[그림 3] 암호화된 파일명 및 코드

 

 

이 랜섬웨어가 암호화하는 대상의 확장자는 공개된 소스코드가 암호화하는 대상과 달리 [표 1]과같이 한글 프로그램과 PDF 등이 추가되었음이 확인됐다.

 

 

[표 1] 암호화 대상 확장자 비교

 

 

또한 이 랜섬웨어는 파일 암호화 후 감염 알림창을 통해 생성된 키(Key)정보를 보여주는데, 해당 알림창은 [그림 4]와 같이 한글로 되어있다. 또한, 암호화 키 생성시 랜덤한 문자열을 추가하여 생성하는 것으로 확인된다.

 

 

[그림 4] 감염 알림창

 

 

이번에 발견된 랜섬웨어는 다소 조악하게 만들어진 점이나 실제 사용자에게 유포된 흔적 및 사용자 감염 이력이 확인되지 않는 점 등으로 미루어 단순 테스트나 교육을 목적으로 제작된 것일 가능성이 있다. 그러나 만일 교육을 목적으로 제작된 것이라도 해도 여전히 랜섬웨어는 랜섬웨어이다. 안랩은 사전 예방 차원에서 V3 등 자사 제품을 통해 해당 랜섬웨어를 진단 및 삭제하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.MSIL (2016.08.19.00)