일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 실행 시 C&C 서버와의 통신을 통해 파일 암호화를 시작하도록 제작되어 있습니다.
이로 인하여 C&C 서버와의 통신이 차단될 경우에는 파일 암호화 행위는 진행되지 않는 구조인데, 최근 SamSam 또는 MAKTUB Locker 랜섬웨어는 일명 오프라인 암호화(Offline Encryption) 방식으로 파일 암호화 과정에서 C&C 서버와의 통신을 전혀하지 않는다고 합니다.
이로 인하여 네트워크 연결이 이루어지지 않는 폐쇄망에서도 파일 암호화를 통한 피해를 유발할 수 있다는 점에서 살펴보도록 하겠습니다.
테스트에서는 인터넷 연결이 이루어지지 않도록 네트워크를 끊은 상태에서 진행하였으며, 공개된 정보에 따르면 ① 메일 첨부 파일 ② 보안 업데이트가 이루어지지 않은 취약한 서버를 대상으로 원격으로 감염시키는 방식으로 유포가 이루어지고 있다고 합니다.
확인된 파일은 메일을 통해 유포된 것으로 추정되는 메모장 파일 아이콘으로 위장한 TOS-update-2016-Marth-18.scr 화면 보호기 파일(SHA-1 : b35c295f625ce4203f70106d33ecdfb39be3537b - 알약(ALYac) : Trojan.Ransom.Maktub)입니다.
생성 파일 등록 정보 |
C:\Users\(로그인 계정명)\AppData\Local\Temp\ibilpiq.gif
|
악성 파일이 실행되면 임시 폴더에 랜덤(Random)한 이름을 가진 CAB 압축 파일을 생성하며, 해당 파일 내부에는 privacy_tos_update.rtf 이름을 가진 문서가 동봉되어 있습니다.
압축 해제된 privacy_tos_update.rtf 문서는 실행된 랜섬웨어 파일명(TOS-update-2016-Marth-18)과 동일하게 변경(TOS-update-2016-Marth-18.rtf)되어 "Updating our privacy policies and terms of service" 문서를 보여줍니다.
이를 통해 사용자가 메일을 통해 다운로드하여 실행한 메모장 파일 아이콘을 가진 파일이 문서처럼 사용자를 속일 수 있으며, 이 과정에서 네트워크 통신없이 자동으로 파일 암호화를 수행합니다.
암호화가 진행된 파일은 HWP 문서를 포함하여 문서, 사진, 압축, 음악 파일 등 광범위하게 암호화가 진행되며, 암호화된 파일 확장명은 랜덤(Random)하게 생성됩니다.
특히 기존의 랜섬웨어(Ransomware)와는 다르게 원본 파일을 압축 후 암호화하는 방식으로 암호화 속도 향상을 꾀하고 있습니다.
파일 암호화가 완료된 후에도 사용자가 실행한 악성 파일은 각 폴더에 생성된 금전 요구 메시지(_DECRYPT_INFO_(랜덤 확장명).html)를 로딩하여 다음과 같이 최상위 화면으로 노출합니다.
해골 모양의 MAKTUB Locker 랜섬웨어는 3일 이내에 특정 웹사이트를 방문하여 비트코인(Bitcoin) 가상 화폐를 지불하도록 안내하고 있습니다.
참고로 감염 시 생성되는 임시 폴더에 생성되는 GIF 파일은 금전 요구 메시지의 좌측 상단에 MAKTUB Locker 로고를 표시하기 위해 추가적으로 생성하였습니다.
MAKTUB Locker 랜섬웨어의 가격표를 확인해보면 최대 15일 이후에는 최초 가격의 3배까지 인상되며, 기간이 경과한 경우 저장된 암호화키를 보증할 수 없으므로 빠른 시간 내에 돈을 지불하기를 바라고 있습니다.
MAKTUB Locker 랜섬웨어는 기업과 같은 네트워크 환경인 경우 1대의 감염으로 로컬 네트워크를 통해 다른 PC에 저장된 파일까지 암호화를 수행하며 C&C 서버와의 통신이 없다는 점에서 더더욱 감염에 주의할 필요가 있습니다.
■ SamSam / MAKTUB Locker 랜섬웨어 대응 방법
해당 랜섬웨어(Ransomware)는 AppCheck 랜섬웨어 백신을 통해 파일 암호화 행위 차단 및 일부 훼손된 파일을 자동 복구하는 것을 확인하였습니다.
또한 유포 방식이 보안 취약점을 가진 서버를 원격으로 감염시킬 수 있다고 하므로 서버단에서는 보안 패치에 신경을 더욱 써야 할 것으로 보입니다.