.RRK 확장명으로 암호화하는 Radamant 랜섬웨어(Ransomware) 국내 유포 주의 (2015.12.28)

최근 해외에서 새롭게 발견된 Radamant 랜섬웨어(Ransomware)가 보안 패치를 제대로 하지 않은 국내 인터넷 사용자를 표적으로 한 유포가 이루어지기 시작하였다는 소식입니다.

• 한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21)

Radamant 랜섬웨어의 특징은 클리앙 커뮤니티를 통해 유포되었던 Crypt0L0cker 랜섬웨어(Ransomware)와 유사하게 파일 암호화 후 제시되는 메시지에 한국어가 포함되어 있다는 점입니다.

 

현재 악의적으로 조작된 특정 웹 사이트에 접속한 사용자 중 보안 취약점을 가진 환경인 경우 BIN 파일 확장명을 가진 악성 파일(SHA-1 : 1342c73988d14213691f8dbee3781424553ff76d - Kaspersky : Trojan-Downloader.Win32.Madyd.ppp)을 자동 다운로드 및 실행하여 가상 환경(Anti-VM) 여부를 체크한 후 다음과 같은 악성 파일을 생성합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\DirectX.exe
 - SHA-1 : 1342c73988d14213691f8dbee3781424553ff76d
 - AhnLab V3 : Trojan/Win32.MDA.C1315537

자가 복제 방식으로 생성된 DirectX.exe 악성 파일은 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하지 않을 경우 파일 탐색기를 통해 찾을 수 없도록 제작되어 있습니다.

• <암호화 전> (원본 파일명).확장명 → <암호화 후> (원본 파일명).확장명.RRK

감염된 후 실행된 DirectX.exe 악성 파일은 로컬 드라이브, 네트워크 드라이브에 존재하는 다수의 파일 확장명을 가진 파일에 대해 암호화를 통해 .RRK 확장명을 가진 파일로 변경하며 원본 파일은 자동 삭제 처리합니다.(※ 해외 정보에 따르면 변종에 따라 .RDM 확장명으로 변경될 수 있습니다.)

특히 파일 암호화 대상 확장명 중에 한글 문서 파일(.hwp), 알집 압축 파일(.alz)이 포함되어 있다는 점에서 국내 감염을 염두에 두고 있습니다.

참고로 파일 암호화시 AhnLab V3 백신에서는 "디코이(Decoy) 파일 변경 시도 탐지" 행위 탐지 방식을 통해 Malware/MDP.Manipulate.M906 진단명으로도 차단이 이루어지고 있었으며, 알약(ALYac) 백신에서도 최근 추가된 랜섬웨어 차단 알림 기능을 통해 효과적으로 대응하고 있습니다.

만약 성공적으로 파일 암호화가 이루어진 후에는 "C:\Users\(사용자 계정)\Desktop\YOUR_FILES.url" 파일을 생성하며, 해당 파일은 외부 서버(valeranastalovremya.com)로 연결되어 다음과 같은 메시지를 웹 브라우저를 통해 띄우도록 구성되어 있습니다.

연결된 페이지는 11개국(미국, 독일, 폴란드, 프랑스, 이탈리아, 스페인, 베트남, 러시아, 터키, 대만, 한국) 언어로 노출되도록 되어 있으며, AES-256 암호화 알고리즘을 통해 파일 암호화가 이루어졌으며 RSA-2048 암호화 키를 사용하고 있다고 밝히고 있습니다.

 

암호화된 파일을 복구하기 위해서는 다른 랜섬웨어(Ransomware)와는 다르게 72시간 이내에 0.5 BTC 비트코인(Bitcoin) 가상 화폐를 통한 결제를 하도록 요구하고 있으며 결제를 위한 동영상까지 공개되어 있습니다.

 

■ Radamant 랜섬웨어(Ransomware) 제거 방법

 

Radamant 랜섬웨어(Ransomware)는 Windows 시작시마다 자동으로 실행되어 지속적인 파일 암호화 및 금전을 요구하는 메시지 창을 생성하므로 반드시 악성 파일 제거가 필요합니다.

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 DirectX.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "C:\Users\(사용자 계정)\AppData\Roaming\DirectX.exe" 악성 파일을 찾아 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 문자열을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DirectX = C:\Users\(사용자 계정)\AppData\Roaming\DirectX.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - DirectX = C:\Users\(사용자 계정)\AppData\Roaming\DirectX.exe

(d) Radamant 랜섬웨어(Ransomware) 악성코드 감염의 원인이 되는 보안 업데이트를 통해 재감염되는 일이 없도록 예방하시기 바랍니다.

• 가격이 상승한 CryptoWall 4.0 랜섬웨어(Ransomware) 출현과 예방법

지속적으로 새로운 형태의 랜섬웨어(Ransomware)가 등장하여 사용자의 중요 파일을 암호화하여 금전을 요구하는 행위가 발생하고 있으며, 국내 감염자들이 금전 지불을 통해 수익이 발생하기에 한국어 페이지가 등장하는 원인을 제공하는 것이 아닌가 우려가 되고 있습니다.