해커들이 문서를 '인질'로 삼았다?

2012.11.22

 

근래에 랜섬웨어(Ransomware)가 화두로 떠오르고 있다.

 

 

랜섬웨어는 동유럽과 러시아 등지에서 제작되는 것으로 알려져 있다. 주로 사용하는 컴퓨터 시스템과 문서의 정상적인 사용을 방해하고, 그 댓가로 금전을 요구하는 형태를 말한다.

 

 

안랩시큐리티대응센터(이하 ASEC)에서 지금까지 파악한 바에 따르면 랜섬웨어들은 악성코드 제작자에 의해 직접 제작되는 경우도 있었지만 최근들어 다른 일반적인 악성코드와 비슷하게 '랜섬웨어 생성기'에 의해 제작되는 사례도 존재하는 것으로 나타났다.

 

 

특히 최근 랜섬웨어의 경향은 국지적인 한계를 벗어나고 있어 주목된다.

 

 

감염된 시스템의 윈도우에서 사용하는 언어를 확인해 그에 맞는 언어로 표기하는 형태도 등장하고 있는 것이다.

 

 

한국어 윈도우에서는 한국어로 표기하는 랜섬웨어가 발견되는 사례도 있었다.

 

무엇보다 이달 초 해외에서는 유명 해커그룹인 '어나니머스(Anonymous)'를 사칭한 랜섬웨어가 발견되기도 했다.

 

 

이 랜섬웨어는 스위스 보안그룹 'Abuse.ch'가 공개한 이미지(그림-1)에서와 같이 어나니머스의 로고와 메시지를 보여주는 것으로 드러났다. 또 정상정인 시스템 사용을 위해서는 그 반대급부로 금전적인 대가를 요구했다.

 

 [그림-1] 랜섬웨어에 감염된 시스템 상에서 노출되는 이미지(출처 : 스위스 보안그룹 'Abuse.ch')

 

 

해당 랜섬웨어가 시스템에서 실행이 되면 먼저 구글로 접속을 시도해 감염된 시스템이 존재하는 지리적 위치를 확인시킨다.

 

그 후 러시아에 위치한 다음의 IP 시스템으로 접속, 감염된 시스템의 사용자에게 보여줄 내용이 담긴 'picture.php'를 다운로드하도록 한다.

 

http://62.76.45.83/picture.php

ASEC 분석 당시에는 정상적인 접속이 이루어지지 않아 어나니머스를 사칭한 메시지는 보여지지 않았다. 하지만 시스템의 정상 사용을 방해하는 기능은 정상적으로 수행됐다.

 

또 이 랜섬웨어는 감염된 시스템이 재부팅해 실행이 되더라도, 랜섬웨어가 정상 동작하도록 레지스트리에 다음의 키를 생성하도록 했다.

 

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

sv??t = "%SystemDrive%\[파일 존재 위치]\[유포 당시 파일명]

 

아울러 감염된 시스템이 안전모드로 부팅하지 못하도록 다음 레지스트리 키와 하위 키들을 모두 삭제하게 했다.

 

 

HKLM\SYSTEM\ControlSet001\Control\SafeBoot

 

이 번에 발견된 랜섬웨어가 해커 그룹인 어나니머스에서 제작되었는지 여부는 확인되지 않았다.

 

 

그러나 다양한 형태의 랜섬웨어들이 지속적으로 발견되고 있는 만큼, 사용하는 시스템의 보안 패치와 함께 백신을 최신 엔진으로 업데이트 하는 것이 무엇보다 중요하다.

 

해커 그룹 어나니머스를 사칭한 해당 랜섬웨어는 V3 제품 군에서 'Trojan/Win32.PornoAsset'로 진단한다. Ahn