2016년 7월 6일경부터 보안 패치를 제대로 하지 않은 상태로 인터넷을 이용하는 국내 인터넷 사용자 중에서 파일 확장명 변경없이 암호화되는 CryptXXX 랜섬웨어(Ransomware) 감염자가 확인되고 있습니다.
CryptXXX 랜섬웨어는 2016년 4월경부터 ".crypt → .cryp1 → .cryptz → 랜덤(Random)" 파일 확장명 형태로 변종이 발견되고 있었으며, 이번에 유포된 CryptXXX 랜섬웨어는 Neutrino Exploit Kit을 통해 다양한 웹 사이트 접속 과정에서 자동 감염될 수 있습니다.
"C:\Windows\SysWOW64\regsvr32.exe" /s rad1546F.tmp.dll
이번 CryptXXX 랜섬웨어 변종은 regsvr32.exe 시스템 파일(Microsoft(C) Register Server)을 통해 악성 DLL 파일을 로딩하는 방식으로 동작합니다.
실행된 regsvr32.exe 프로세스는 문서, 사진, 압축, 음악 파일 등을 파일명과 확장명 변경없이 암호화를 진행하며, 암호화된 폴더 내에는 README.bmp, README.html, README.txt 3종의 랜섬웨어 안내 파일을 생성합니다.
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.bmp
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt
이들 랜섬웨어 안내 파일은 Windows 부팅 시마다 자동 실행되도록 시작프로그램 폴더(Startup)에 등록됩니다.
실제 암호화된 한글 문서(.HWP)을 오픈해보면 암호화되어 내용을 알아볼 수 없는 형태로 표시되는 것을 확인할 수 있습니다.
파일 암호화가 완료된 후에는 바탕 화면 배경을 "C:\Users\%UserName%\AppData\Local\Temp\README.BMP" 파일로 변경합니다.
생성된 README.html 메시지 파일에서는 "ATTENTION! YOUR FILES ARE ENCRYPTED." 문구를 통해 개인 ID와 Tor Browser를 이용하여 특정 URL 주소로 접속을 안내하고 있습니다.
연결된 사이트에서는 한국어를 포함한 25개국 언어를 지원하고 있으며, 개인 ID를 통해 암호 해독 서비스에 로그인하도록 제작되어 있습니다.
연결된 페이지에서는 Microsoft decryptor 구입을 위해 100시간 안에 비트코인(Bitcoin)을 이용한 입금을 하지 않을 경우 2배로 가격이 상승한다고 협박을 하고 있습니다.
■ 파일명 및 확장명 변경없이 암호화하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법
다양한 변종으로 진화하며 파일 암호화를 통해 금전을 요구하는 CryptXXX 랜섬웨어(Ransomware)의 모든 변종에 대하여 AppCheck 안티랜섬웨어 제품은 암호화 행위 차단 및 일부 훼손된 파일들을 자동으로 복원할 수 있으므로 피해 예방을 위해 반드시 백신과 함께 사용하시기 바랍니다.