한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21)

2015년 4월 21일 새벽경부터 국내 인터넷 커뮤니티 클리앙(Clien)에 접속할 경우 취약점(Exploit)을 통한 CryptoLocker 계열로 추정되는 Crypt0L0cker 랜섬웨어(Ransomware)에 자동 감염되는 유포 행위가 있었습니다.

 

참고로 "Windows XP + Internet Explorer 8" 버전 사용자 및 최신 보안 패치가 적용되지 않은 Internet Explorer 8, 9, 10, 11 버전 사용자는 감염되었을 확률이 매우 높습니다.

 

• <클리앙 공지 사항> 운영자입니다. 악성코드 유포에 사과드립니다. (2015.4.21)

이로 인하여 감염된 PC 및 연결된 저장 매체에 보관 중인 사진, 동영상, 문서 등의 중요 파일이 RSA-2048 암호화 알고리즘을 통해 "(파일명).(암호화 대상 파일 확장자).encrypted" 파일 패턴으로 저장됩니다.(※ 정상적으로 해당 암호화 알고리즘으로 파일을 처리했다면 현실적으로 복호화 키가 없는 경우에는 복구가 불가능할 수 있습니다.)

 

감염된 환경에서는 Windows 운영 체제 자체는 문제없이 사용할 수 있지만, 특정 폴더(%Windir%, %Temp% 추정)를 제외한 위치에 암호화 대상 파일을 저장할 경우 암호화 처리되어 열어볼 수 없게 됩니다.

이후 DECRYPT_INSTRUCTIONS.html, DECRYPT_INSTRUCTIONS.txt 파일을 생성하여 웹 브라우저 또는 메모장을 통해 "본인의 모든 파일을 Crypt0L0cker 바이러스으로 코딩했습니다."라는 경고 메시지를 생성하여 안내에 따라 비트코인(BitCoin) 가상 화폐를 통한 결제를 유도합니다.

웹 브라우저를 통해 안내하는 웹 사이트 접속을 통해 암호 해독 프로그램 구매를 위해 3.68676 비트코인(877,800원)을 결제하도록 하고 있으며, 비트코인 구매를 위해서는 국내외 유명 비트코인 거래소를 이용하도록 안내하고 있습니다.

또한 만약 결제를 위한 웹 사이트가 차단(폐쇄)된 경우에는 Tor Browser Bundle 웹 브라우저를 통해 토르(Tor) 기반 .onion 주소로 접속하여 결제를 하도록 하고 있습니다.

 

이번에 확인된 Crypt0L0cker 랜섬웨어(Ransomware) 악성코드는 한국(Korea) 인터넷 사용자를 표적으로 한글화가 완벽하게 이루어졌다는 점에서 기존의 미국(USA), 일본(Japan) 등에서 발견되고 있던 랜섬웨어(Ransomware) 유포 조직이 더욱 공격 범위를 넓히고 있음을 알 수 있습니다. 

이번 클리앙 커뮤니티를 통해 유포되는 감염 방식은 취약점(Exploit)을 이용한 방식으로 사용자가 윈도우, 웹 브라우저, 각종 응용 프로그램에 대한 보안 업데이트를 하지 않은 상태로 웹 사이트 접속시 자동으로 감염될 수 있습니다.

 

파일 경로	C:\Windows\uhiteruh.exe
MD5	B44AEF3870C3A92D01C42E957F0410A2
진단명	Trojan.Ransom.cryptolocker (알약)  Win-Trojan/Cryptolocker.229892 (AhnLab V3)  Trojan.Win32.R.CryptoLocker.229892[h] (Hauri ViRobot)  TR/Teerac.A.38 (Avira)  TROJ_FORUCON.BMC (Trend Micro)
제품 이름	HD Tune Procs
파일 설명	HD Tune Procs
레지스트리 등록값	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   - iledjwus = "C:\Windows\uhiteruh.exe"
비고	시작 프로그램 등록 파일, 생성 파일 및 레지스트리 값은 랜덤(Random)합니다.

 

현재 하우리(Hauri) 보안 업체에서 제공하는 정보에 따르면 ViRobot APT Shield 2.0 취약점 차단 도구를 통해 완벽하게 방어를 하고 있었다고 합니다.

 

• ViRobot APT Shield 2.0
• 알약 익스플로잇 쉴드(ALYac Exploit Shield) 1.0

그러므로 백신 프로그램과 함께 취약점 차단 도구를 함께 사용하여 백신에서 진단하지 못하는 변종 악성코드에 자동으로 감염되지 않도록 시스템을 보호하시기 바랍니다.

 

또한 랜섬웨어(Ransomware) 악성코드에 감염된 경우 공격자의 요구에 따라 돈을 지불할 경우 복호화 키를 제공하는 경우도 있지만 100% 제공된다는 보장이 없으므로 함부로 결제하여 그들에게 먹이를 주지 마시기 바랍니다.

 

마지막으로 개인의 소중한 파일은 주기적으로 PC와 연결되지 않은 외부 저장 매체에 백업(Backup)을 하는 습관을 통해 랜섬웨어(Ransomware) 악성코드와 같은 피해를 최소화하시기 바랍니다.

 

[관련글 보기]

 

☞ Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 무료 복구 서비스 (2014.8.7)

 

☞ TorLocker 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : ScraperDecryptor (2015.4.11)

 

☞ PClock2 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : Emsisoft Decrypter for PClock2 (2015.4.16)