울지않는벌새 : Security, Movie & Society

중국어(Chinese) 사용자를 표적으로 한 Cute 랜섬웨어(Ransomware) 정보 (2016.6.28)

벌새::Analysis

파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)가 범죄 산업으로 발전하면서 중국어(Chinese) 사용자를 표적으로 한 랜섬웨어도 서서히 등장하고 있습니다.

 

 

이미 2016년 5월경에 공식적으로 중국어를 금전을 요구하는 SHUJIN 랜섬웨어가 공개되었으며, 2016년 6월 중순경 또 다른 Cute Ransomware (= MyLittle Ransomware)가 추가적으로 발견됨에 따라 차후 한국(South Korea)을 표적으로 발전할 가능성이 있기에 살펴보도록 하겠습니다.

 

확인된 Cute 랜섬웨어 파일(SHA-1 : 0b9251d69961b880b06def392f0e3104316dfdd9 - Trend Micro : Ransom_CRYPCUTE.B)은 PDF 문서 아이콘 모양을 하고 있으며, 파일 속성값에 Ransomware라고 표기한 것을 봐서는 테스트(Test) 목적으로 제작된 것이 아닌가 추정됩니다.

 

 

해당 랜섬웨어는 파일 암호화 시 C&C 서버와의 통신없이 AES-128 Bit 암호화 방식으로 암호화를 수행합니다.

 

 

암호화 대상 파일 확장명은 14종(.bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py, .cpp, .pcap, .enc, .pem, .csr)으로 제한적이며, 바탕 화면 영역에 위치한 파일 중 해당 파일 확장명만을 암호화를 진행합니다.

 

 

파일 암호화가 진행될 경우 원본 파일명은 랜덤(Random)한 파일명으로 변경이 이루어지며, 암호화된 파일의 확장명은 .已加密 (= .암호화)로 변경됩니다.

 

 

실제 Cute 랜섬웨어에 의해 .已加密 확장명으로 암호화된 파일을 확인해보면 일부 암호화 과정에서 원본 또는 암호화된 파일이 삭제되거나 암호화되지 않는 문제가 발생하는 버그(Bug)가 존재합니다.

 

파일 암호화가 완료된 후에는 ["C:\Windows\system32\NOTEPAD.EXE" C:\Users\%UserName%\AppData\Local\Temp\你的檔案被我們加密啦!!!.txt] 메시지 파일을 실행하여 암호화된 파일을 해제하기 원할 경우 특정 이메일 주소로 연락을 하도록 메시지 파일을 생성하여 노출시킵니다.

 

특히 파일 암호화 완료 시점에서 특정 Google 설문지 페이지로 통신을 시도하는 것을 확인할 수 있습니다.

 

 

해당 Google 설문지 페이지에는 "This is the "Ransomware" homework testing"이라는 문구가 표기되어 있는 것을 봐서는 과제 수행 목적으로 제작된 것이 아닌가 추정됩니다.

 

Cute 랜섬웨어 (= MyLittle 랜섬웨어) 대응 방법

 

 

.已加密 파일 확장명으로 암호화를 수행하는 Cute 랜섬웨어 (= MyLittle 랜섬웨어) 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단/제거 및 일부 훼손된 파일을 자동 복원할 수 있습니다.

 

단지 이번에 발견된 랜섬웨어(Ransomware)의 경우 테스트 목적으로 제작된 것으로 보이지만, 차후 중국 계열 사이버 범죄 조직이 한국을 대상으로 한 파밍(Pharming) 악성코드 유포와 같이 광범위한 유포로 연결될 경우 지금까지와는 전혀 다른 랜섬웨어 피해가 발생할 수 있으므로 백신과 함께 AppCheck 안티랜섬웨어를 함께 사용하시기 바랍니다.