본문 바로가기

벌새::Security

한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21)

2015년 4월 21일 새벽경부터 국내 인터넷 커뮤니티 클리앙(Clien)에 접속할 경우 취약점(Exploit)을 통한 CryptoLocker 계열로 추정되는 Crypt0L0cker 랜섬웨어(Ransomware)에 자동 감염되는 유포 행위가 있었습니다.

 

참고로 "Windows XP + Internet Explorer 8" 버전 사용자 및 최신 보안 패치가 적용되지 않은 Internet Explorer 8, 9, 10, 11 버전 사용자는 감염되었을 확률이 매우 높습니다.

 

이로 인하여 감염된 PC 및 연결된 저장 매체에 보관 중인 사진, 동영상, 문서 등의 중요 파일이 RSA-2048 암호화 알고리즘을 통해 "(파일명).(암호화 대상 파일 확장자).encrypted" 파일 패턴으로 저장됩니다.(※ 정상적으로 해당 암호화 알고리즘으로 파일을 처리했다면 현실적으로 복호화 키가 없는 경우에는 복구가 불가능할 수 있습니다.)

 

감염된 환경에서는 Windows 운영 체제 자체는 문제없이 사용할 수 있지만, 특정 폴더(%Windir%, %Temp% 추정)를 제외한 위치에 암호화 대상 파일을 저장할 경우 암호화 처리되어 열어볼 수 없게 됩니다.

이후 DECRYPT_INSTRUCTIONS.html, DECRYPT_INSTRUCTIONS.txt 파일을 생성하여 웹 브라우저 또는 메모장을 통해 "본인의 모든 파일을 Crypt0L0cker 바이러스으로 코딩했습니다."라는 경고 메시지를 생성하여 안내에 따라 비트코인(BitCoin) 가상 화폐를 통한 결제를 유도합니다.

웹 브라우저를 통해 안내하는 웹 사이트 접속을 통해 암호 해독 프로그램 구매를 위해 3.68676 비트코인(877,800원)을 결제하도록 하고 있으며, 비트코인 구매를 위해서는 국내외 유명 비트코인 거래소를 이용하도록 안내하고 있습니다.

또한 만약 결제를 위한 웹 사이트가 차단(폐쇄)된 경우에는 Tor Browser Bundle 웹 브라우저를 통해 토르(Tor) 기반 .onion 주소로 접속하여 결제를 하도록 하고 있습니다.

 

이번에 확인된 Crypt0L0cker 랜섬웨어(Ransomware) 악성코드는 한국(Korea) 인터넷 사용자를 표적으로 한글화가 완벽하게 이루어졌다는 점에서 기존의 미국(USA), 일본(Japan) 등에서 발견되고 있던 랜섬웨어(Ransomware) 유포 조직이 더욱 공격 범위를 넓히고 있음을 알 수 있습니다. 

이번 클리앙 커뮤니티를 통해 유포되는 감염 방식은 취약점(Exploit)을 이용한 방식으로 사용자가 윈도우, 웹 브라우저, 각종 응용 프로그램에 대한 보안 업데이트를 하지 않은 상태로 웹 사이트 접속시 자동으로 감염될 수 있습니다.

 

파일 경로

 C:\Windows\uhiteruh.exe

MD5

 B44AEF3870C3A92D01C42E957F0410A2

진단명

 Trojan.Ransom.cryptolocker (알약)

 Win-Trojan/Cryptolocker.229892 (AhnLab V3)
 Trojan.Win32.R.CryptoLocker.229892[h] (Hauri ViRobot)

 TR/Teerac.A.38 (Avira)

 TROJ_FORUCON.BMC (Trend Micro)

제품 이름

 HD Tune Procs

파일 설명

 HD Tune Procs

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  - iledjwus = "C:\Windows\uhiteruh.exe"

비고

 시작 프로그램 등록 파일, 생성 파일 및 레지스트리 값은 랜덤(Random)합니다.

 

현재 하우리(Hauri) 보안 업체에서 제공하는 정보에 따르면 ViRobot APT Shield 2.0 취약점 차단 도구를 통해 완벽하게 방어를 하고 있었다고 합니다.

 

그러므로 백신 프로그램과 함께 취약점 차단 도구를 함께 사용하여 백신에서 진단하지 못하는 변종 악성코드에 자동으로 감염되지 않도록 시스템을 보호하시기 바랍니다.

 

또한 랜섬웨어(Ransomware) 악성코드에 감염된 경우 공격자의 요구에 따라 돈을 지불할 경우 복호화 키를 제공하는 경우도 있지만 100% 제공된다는 보장이 없으므로 함부로 결제하여 그들에게 먹이를 주지 마시기 바랍니다.

 

마지막으로 개인의 소중한 파일은 주기적으로 PC와 연결되지 않은 외부 저장 매체에 백업(Backup)을 하는 습관을 통해 랜섬웨어(Ransomware) 악성코드와 같은 피해를 최소화하시기 바랍니다.

 

 
  • 불만왕투덜이 2015.04.21 17:06 댓글주소 수정/삭제 댓글쓰기

    보안뉴스에 울지 않는 벌새님 글 인용
    http://www.boannews.com/media/view.asp?idx=46010&kind=1

    한글문구까지 대단한 놈 그 머리로 다른일 하지......

    울지 않는 벌새님 수고 하세요

  • 프랑지파니 2015.04.21 20:52 댓글주소 수정/삭제 댓글쓰기

    https://www.virustotal.com/ko/file/ef90072bef255a48d144de646d17a3ca04cc3ef60e447d4a811c9b60afdc7941/analysis/

    얘가 그 녀석인것 같은데...으어...이 시간까지 진단을 못하는 놈들이 꽤 있군요 ㅠㅠ Panda랑 Bitdefender....물론 겨우 웹사이트일 뿐이니 실제로는 다를지도 모르겠지만...(예를 들어 Microsoft Windows Defender는 일단 해당 취약점 exploit flash를 포함한 웹사이트 접속시에 차단해줬다고 하는데 여기는 아직 초록색이군요...)
    개인적으로는 Panda 사용중이지만 flash 광고 차단중이라 걸리진 않았네요. 그래도 bitdefender랑 panda 두 곳 다 믿던 곳인데 조금 아쉽고... 드라이브 바이 다운로드 감염이라던데 이번 일로 "프로그램 실행만 안 하면 바이러스 안 걸린다"는 생각 많이들 바꾸게 될 것 같습니다...

    • 바이러스토탈 진단은 시그니처 진단만 반영되므로 실제로는 감염 과정에서 행위 기반 등의 추가적인 보안 기능으로 방어가 될 수도 있습니다.

    • 프랑지파니 2015.04.21 21:11 댓글주소 수정/삭제

      빠른 답글 감사합니다. 설명을 듣고 보니 나름 위안이 되네요 signature도 곧 추가되겠지요. flash나 pdf등으로 취약점 공격이 가능하다고는 알고 있었는데 설마 이렇게 단순히 사이트에 들어가는 것 만으로도 많은 사람들이 피해를 보는 걸 보니 경각심이 높아지네요.

    • 이런 공격방식은 국내에서 몇 년동안 매우 유행하고 있으며 실제 주말에는 엄청난(?) 공격으로 많은 사람들이 감염에 노출되고 있습니다.

      보통 인터넷뱅킹, 온라인게임을 노리는 악성코드 유포에 활용되고 있었는데 이번에 랜섬웨어가 추가된 것 같습니다.

  • 정확한 시그니처 진단의 유무를 알 수 있다는 장점이 있지만 바이러스토탈 진단결과가 실제환경에서 각 보안 제품의 최종 악성코드 방어를 정확하게 판별하는데는 무리가 있습니다.

    예를 들어 카스퍼스키의 경우 지금 문제가 된 한국형 Crypt0L0cker 악성코드가 바이러스토탈에서 Trojan.Win32.Deshacop.du로 진단한다고 나오기 전에 이미 클라우드 탐지명인 UDS DangerousOBject.Muti.Generic 로 해당 파일을 진단하고 있었죠. 다른 제품들(F-Secure를 보아도)도 이런 경우가 있었을 겁니다.

    또한 벌새님 언급처럼 Exploit 방어기능(예: ESET, Kaspersky)이나 웹방어기능등 추가방어 기능들이 있는 제품에서 해당 기능들을 모두 사용하고 있었을 경우 설령 파일진단을 못했더라도 최종감염이 일어나지 않는 경우도 있겠죠.

    특히 이번 악성코드 감염을 보면 일차적으로 광고서버의 보안관제가 제대로 이루어지지 않은게 가장 큰 문제지만 사용하는 소프트웨어의 보안 업데이트만(웹브라우저, 플래시 플레이어) 사용자가 잘 했어도 감염이 이루어지지 않았을 경우라 더 안타깝습니다. 피해를 본 사용자가 많은 듯하더군요.

    • URL 차단, 행위 기반, 평판 기능 등의 보안 기능을 가진 백신이라면 바이러스토탈 진단과는 무관하게 방어를 성공적으로 했을 수 있습니다.

  • 불만왕투덜이 2015.04.22 07:10 댓글주소 수정/삭제 댓글쓰기

    저는 uhiteruh.exe 파일 없네요

    지금 Kaspersky Internet Security 2015 사용하고 있는데
    수리샛별님 위에 글 보고 카스퍼스키 능력 대단해요

    별새님 수고 하세요

  • 철이 2015.04.22 13:25 댓글주소 수정/삭제 댓글쓰기

    이번에 정말 피해가 막대한 사람들이 많은것 같습니다. 생계와 직면한 사람들도 있고 수년간의 추억들이 날아간 사람들까지.. 안타깝더군요.
    그런데 몇년전이나 지금이나 당하고나서 후회들 하는 패턴은 변하지가 않네요.


    음.. 그리고 v3 유료 사용자도 v3 유료 사용자인데 걸린 사람이 있더군요 ㄷㄷ 행위에서도 못막아준 모양입니다.

    • 이런 공격 방식은 몇 년동안 국내 유명 웹 사이트에서 심심찮게 발생하고 있었는데 그만큼 사람들이 무심하게 지내고 있었던 듯합니다.

      기존의 악성코드는 포털 접속시 금융감독원 배너창 생성하고 그러니 그냥 악성 파일만 제거하면 되었는데 랜섬웨어는 개인 파일을 암호화하니 그만큼 충격이 온 것 같습니다.

      V3에서는 충분히 막았을겁니다. 단지 사람들이 백신만 설치하고 옵션으로 보안 세팅을 제대로 안하니 감염되었을 듯합니다.

      진단을 못해도 평판창에서 분명히 파일 실행 여부를 물었을 것인데 예(Y) 버튼을 참 잘 누르죠.

  • 느긋 2015.04.22 16:47 댓글주소 수정/삭제 댓글쓰기

    이번 랜섬웨어 사건을 뉴스로 대대적으로 보도하는 건 어쩌면 정부의 사설 공유기 실시간 모니터링 시행에 대한 정당성을 부여하는 것도 같지만, 그렇지 않고서도 상당히 큰 사건이긴 하네요. 다행히 저는 이번엔 무사히 넘어갔지만 앞으로도 안심할 수 있을까 정말 걱정이 되네요.

    광고배너를 통한 공격이 이번엔 클리앙이었지만 왠지 다음에는 인터넷뉴스 포털사이트의 덕지덕지한 광고 중 하나로 확산되거나 아니면 HTML 자체적으로도 발생할 수도 있다는 걸 생각하면 아직 안심할 수는 없겠군요. 거기다 이런 티스토리 블로그도 광고 플러그인 같은 걸 붙일 수가 있는 거로 아는데 그걸 통해서도 감염될 가능성도 있어 보이겠군요.

    티스토리 광고 플러그인 때문에 예전에 특정 브라우저에서 현저하게 느려지거나 브라우저가 멈춘 적이 있는데 그 부분까지 확산되면 예전의 VBS/Love Letter나 액티브X에 의한 대규모 좀비PC 현상처럼 전국적으로 확산될 거 같네요. 뭐 이런 사이트에 접속한 것만으로 바이러스가 깔리는 방식을 만든 데서 작정하면 바이오스(혹은 UEFI)까지 변조시켜서 바이오스 자체를 무력화시키는 프로그램이 몰래 깔리게도 만들 듯 해서 걱정이기도 합니다.

    항상 제대로 된 보안에 대한 정보를 알려 주셔서 진심으로 감사드립니다.

    • 광고 배너 또는 웹 사이트 해킹을 통한 악성코드 유포는 어제 오늘일이 아닙니다.

      몇 년에 걸쳐서 매우 심각하게 이루어지고 있으며, 이번 랜섬웨어로 인해 걱정하는 것은 악성 파일 제거로는 해결되지 않는 암호화 때문에 충격이 컸습니다.

  • 1.국내롹커 샘플받아 실행했는데 동작하지않던데..
    c&c차단때문인가요.
    외국CTB샘플은 로컬로도 잘 작동하던..
    2.국내 롹커화면은 외국 롹커랑은 다른화면인데
    다른 집단의 소행으로 보시는지..

  • 좌절 2015.05.07 12:23 댓글주소 수정/삭제 댓글쓰기

    당했습니다...
    중간에 알았는데 받던 파일이 있어서 그거 마저 받는 10분 사이에 수백기가는 잠긴듯 하네요
    시스템 복원은 했지만 파일은 그대로구요
    하필 외장하드를 끼고 있던 때라 타격이 크네요
    벌새님이 올려주신 파일 복구 프로그램 및 사이트들은 제가 당한게 변종인건지
    안먹히네요
    새로 파일복구 나오거나 업데이트되는 거 있으면 소식 좀 알려주세요 ㅜ

    • 해당 랜섬웨어는 감염된 PC마다 암호화 키가 달라서 복호화를 하기 어려운 것으로 알고 있습니다. 그러므로 복구 방법은 아마 찾기 어려울 듯 합니다.

  • 헐~ 2015.05.07 22:58 댓글주소 수정/삭제 댓글쓰기

    오늘 저도 cryptolocker 당했습니다..ㅠ.ㅠ
    와~문서,사진,동영상들이 다 잠겨버렸네요...중요한 것들인데....
    trendmicro removal tool을 안전모드에서 돌려봤지만...검색도 되질 않았네요..
    파일들 꼭 살려야 하는데...방법 없을까요?ㅠ.ㅠ

    • 해결 방법은 전혀 없습니다. 암호화된 파일은 포기하시는게 좋을겁니다.ㅠㅠ

    • 헐~ 2015.05.07 23:03 댓글주소 수정/삭제

      절망적이네요..ㅠ.ㅠ
      수많은 자료들이 한순간에...물거품이 되어버리다니...

    • 현재 감염시키는 방법이 단순히 랜섬웨어에서만 활용되는 것이 아니라 인터넷뱅킹 악성코드에서도 매우 활발하게 사용하는 방식입니다.

      그러므로 윈도우, Flash, Java 등 PC에 설치된 소프트웨어를 항상 최신 버전으로 유지하셔야 합니다.

  • 어이없네요 2015.05.08 02:10 댓글주소 수정/삭제 댓글쓰기

    보니까 4월 21일 클리앙 대란이후 잠잠하다가... 다시 어제(5월 7일) 여기저기 퍼지는거 같아요.
    어제 5월 7일 새벽 1시경 토사랑(tosarang.net)이라는 사이트에 익스플로러로 들어갔다가 감염된거 같습니다.
    이게 지금 토렌트를 통해서 퍼지고 있어요.
    당시에 여러 사이트를 열어놓고 당시에 토렌트를 여러 파일을 받고 있어서 뭘로 정확히 감염된건지 모르겠지만..
    토렌트사이트에 무료 보드 같은걸 광고 창이 여러개 갑자기 떳는데
    그중에 하나 같아요. 야동 사이트가 뜨더라구요.
    일단 치료툴로 치료는 했는데 파일 복구는 안되네요.
    기존의 공개된 치료 툴이나 윈도우 시스템 복원 방식으로는 안되는거 같습니다.
    https://www.rancert.com/ 랜섬웨어대응센터라는 곳에 신고하고
    전화 통화로 상담도 받아봤는데..
    혹시 해당 해커가 나중에 잡혀서 암호키가 털릴수도 있으니 자료 버리지말고
    일단 따로 백업해서 가지고 있으라고 하더라구요.
    근데 1TB가 넘는 자료 어디 백업해둘곳도 없는데..
    막막합니다. 영상과 사진 파일들 엑셀 자료 진짜 소중한 것들인데...
    돌아버리겠네요.
    이거 국가적인 차원에서 복구툴을 개발을 해야하는거 아닌가 싶네요.
    안랩은 이런거 복구툴 개발같은거 안하나요 ㅠㅠ

    • 복구툴 제작이 가능하면 만들었겠죠. 안랩 분석 자료를 보면 개별 PC마다 키값이 달라서 공통적인 복구툴 제작이 어려운 것 같습니다.

      그리고 예전부터 이런 방식의 감염에 대해 경고가 몇 년째 이어지고 있는데 사용자들이 보안 업데이트를 너무 무시하는 것 같습니다.

      항상 PC에 설치된 윈도우 및 각종 프로그램을 최신 버전으로 사용하는 습관을 가지시기 바랍니다.ㅠㅠ

  • 좌절 2015.05.10 11:21 댓글주소 수정/삭제 댓글쓰기

    아 이제 자료들 놓아줘야 할 때일까요
    저번에 댓글 달고 이리저리 돌아다니다 약간의 성과는 있었습니다
    압축된 zip 파일등은 복원이 가능한 방법을 찾았어요
    실제로 복원도 해봤구요
    근데 정작 대부분의 파일들이 압축이 안된상태라 그다지 의미는 없네요...

    • 좌절 2015.05.10 11:23 댓글주소 수정/삭제

      이제 지쳐서 기존에 있던 파일 목록 만드는 프로그램 구해서 목록만들고 있습니다

  • 비밀댓글입니다