보안 패치 제대로 하지 않은 국내 인터넷 사용자 표적으로 한 유포
최근 해외에서 새롭게 발견된 Radamant 랜섬웨어(Ransomware)가 보안 패치를 제대로 하지 않은 국내 인터넷 사용자를 표적으로 한 유포가 이루어지기 시작해 각별한 주의가 요구된다.Radamant 랜섬웨어의 특징은 클리앙 커뮤니티를 통해 유포되었던 Crypt0L0cker 랜섬웨어(Ransomware)와 유사하게 파일 암호화 후 제시되는 메시지에 한국어가 포함되어 있다는 점이다.
보안블로그 ‘울지않는 벌새’의 분석에 따르면, 현재 악의적으로 조작된 특정 웹 사이트에 접속한 사용자 중 보안 취약점을 가진 환경인 경우 BIN 파일 확장명을 가진 악성 파일(SHA-1 : 1342c73988d14213691f8dbee3781424553ff76d - Kaspersky : Trojan-Downloader.Win32.Madyd.ppp)을 자동 다운로드 및 실행하여 가상 환경(Anti-VM) 여부를 체크한 후 악성 파일을 생성한다.
자가 복제 방식으로 생성된 DirectX.exe 악성 파일은 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하지 않을 경우 파일 탐색기를 통해 찾을 수 없도록 제작되어 있다.
감염된 후 실행된 DirectX.exe 악성 파일은 로컬 드라이브, 네트워크 드라이브에 존재하는 다수의 파일 확장명을 가진 파일에 대해 암호화를 통해 .RRK 확장명을 가진 파일로 변경하며 원본 파일은 자동 삭제 처리한다. 해외 정보에 따르면 변종에 따라 .RDM 확장명으로 변경될 수 있다.
특히 파일 암호화 대상 확장명 중에 한글 문서 파일(.hwp), 알집 압축 파일(.alz)이 포함되어 있다는 점에서 국내 감염을 염두에 두고 있다.
만약 성공적으로 파일 암호화가 이루어진 후에는 "C:Users(사용자 계정)DesktopYOUR_FILES.url" 파일을 생성하며, 해당 파일은 외부 서버(valeranastalovremya.com)로 연결되어 메시지를 웹 브라우저를 통해 띄우도록 구성되어 있다.
연결된 페이지는 11개국(미국, 독일, 폴란드, 프랑스, 이탈리아, 스페인, 베트남, 러시아, 터키, 대만, 한국) 언어로 노출되도록 되어 있으며, AES-256 암호화 알고리즘을 통해 파일 암호화가 이루어졌으며 RSA-2048 암호화 키를 사용하고 있다고 밝히고 있다.
암호화된 파일을 복구하기 위해서는 다른 랜섬웨어(Ransomware)와는 다르게 72시간 이내에 0.5 BTC 비트코인(Bitcoin) 가상 화폐를 통한 결제를 하도록 요구하고 있으며 결제를 위한 동영상까지 공개되어 있다.
Radamant 랜섬웨어(Ransomware)는 윈도우 시작시마다 자동으로 실행되어 지속적인 파일 암호화 및 금전을 요구하는 메시지 창을 생성하므로 반드시 악성 파일 제거가 필요하다.
-Windows 작업 관리자를 실행하여 메모리에 상주하는 DirectX.exe 프로세스를 찾아 종료한다.
-"C:Users(사용자 계정)AppDataRoamingDirectX.exe" 악성 파일을 찾아 삭제한다.
-레지스트리 편집기(regedit)를 실행하여 다음의 문자열을 찾아 삭제한다.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- DirectX = C:Users(사용자 계정)AppDataRoamingDirectX.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- DirectX = C:Users(사용자 계정)AppDataRoamingDirectX.exe
-Radamant 랜섬웨어(Ransomware) 악성코드 감염의 원인이 되는 보안 업데이트를 통해 재감염되는 일이 없도록 예방하시기 바랍니다.
◇가격이 상승한 CryptoWall 4.0 랜섬웨어(Ransomware) 출현과 예방법
울지않는 벌새는 “지속적으로 새로운 형태의 랜섬웨어가 등장해 사용자의 중요 파일을 암호화하여 금전을 요구하는 행위가 발생하고 있으며, 국내 감염자들이 금전 지불을 통해 수익이 발생하고 있기 때문에 한국어 페이지가 등장하는 원인을 제공하는 것이 아닌가 우려가 된다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지