랜섬웨어의 미로에 갇힐라…메이즈 랜섬웨어 등장

랜섬웨어의 미로에 갇힐라…메이즈 랜섬웨어 등장 AhnLab 분석팀 l 2019-05-29         또다시 신•변종 랜섬웨어가 잇따라 등장하고 있는 가운데, 이번엔 인터넷 익스플로러(Internet Explorer, 이하 IE) 취약점을 이용하는 메이즈 랜섬웨어(Maze Ransomware)가 나타났다. 특히 감염 PC에 안랩(AhnLab)이라는 이름의 폴더가 있을 경우 해당 폴더에 대한 암호화는 제외하는 등 공격자가 우리나라 사용자의 PC 환경에 대해 상당히 파악하고 있는 것으로 보인다. 이에 사용자의 더욱 각별한 주의가 요구된다.       안랩 시큐리티대응센터(ASEC) 분석팀은 지난 5월 28일, 국내 사용자들을 노리는 것으로 추정되는 메이즈 랜섬웨어를 발견했다. 메이즈 랜섬웨라고 명명한 이유는 해당 랜섬웨어 감염 후 PC의 바탕화면이 [그림 1]과 같이 변경되기 때문이다.   [그림 1] 메이즈 랜섬웨어 감염 후 변경된 바탕화면   메이즈 랜섬웨어는 많은 사람들이 이용하는 웹 브라우저인 IE 취약점과 악성코드 제작 툴인 펄아웃 익스플로잇킷(Fallout EK)을 이용해 유포되고 있는 것으로 확인됐다. 메이즈 랜섬웨어는 감염 PC의 파일을 암호화한 후 확장자를 랜덤한 여러 문자열로 변경한다. 또 사용자에게 감염 사실을 알리기 위해 [그림 2]와 같은 DECRYPT-FILES.html 파일을 생성하고, 앞서 언급한 것처럼 바탕화면을 변경한다.   [그림 2] 메이즈 랜섬웨어가 생성한 html 파일 내용   한편, 이 랜섬웨어는 암호화를 수행하면서 PC에 “AhnLab”이라는 이름의 폴더가 있을 경우, 해당 폴더의 내부 파일들은 암호화에서 제외하는 것으로 확인됐다. 사용자 PC에 V3 등 안랩의 보안 솔루션이 설치되어 있을 경우, 이를 우회하기 위한 목적이다.   [그림 3] 메이즈 랜섬웨어의 AhnLab 폴더 암호화 제외 코드   그러나 안랩 V3 제품군에서는 해당 랜섬웨어를 아래와 같은 진단명으로 탐지 및 차단하며, [그림 4]와 같은 알림창을 통해 상세한 정보도 제공하고 있다.   <V3 제품군 진단명> - Trojan/Win32.RansomCrypt (2019.05.28.06) - Malware/MDP.Ransom.M1171   [그림 4] V3 제품군 탐지 정보   해당 랜섬웨어는 IE 취약점을 통해 유포되고 있는 만큼 감염을 예방하기 위해서는 IE를 최신 버전으로 유지하는 것이 바람직하다. IE 최신 버전은 아래 링크의 마이크로소프트 사이트에서 다운로드할 수 있다.   ► IE 최신 버전 다운로드 페이지