본문 바로가기

벌새::Analysis

한국인이 제작한 카카오톡 위장 랜섬웨어(Ransomware) 소식 (2016.8.20)

728x90
반응형

그 동안 파일 암호화를 통한 금전 협박을 하는 랜섬웨어(Ransomware) 악성코드는 하나의 사이버 범죄 산업으로 발전하였으며, 국내에서도 대형 커뮤니티의 광고 배너를 통해 크게 이슈가 된 적이 있었습니다.

 

 

이런 분위기에서 한국인이 랜섬웨어(Ransomware) 유포에 참여한다는 정보는 간접적으로 들었지만 직접 제작까지 한 사례는 정식으로 확인된 것이 없었습니다.

 

그런데 2016년 8월 16일경 국내에서 제작되어 해외 보안 감시망에 노출된 일명 Korean 랜섬웨어(Ransomware)에 대한 정보가 확인되어 살펴보도록 하겠습니다.

 

단지 해당 랜섬웨어가 실제 악의적으로 유포되어 피해를 유발했는지 확인되지 않고 있으며, 내부적으로 테스트 목적으로 제작되었을 가능성이 매우 높아 보입니다.

 

 

  • SHA-1 : ab5dc6e44029dc56d0dd95b75c3db901b7fe629a - Microsoft : Ransom:MSIL/Ryzerlo.A
  • SHA-1 : f7a78789197db011b55f53b30d533eb4297d03cd - Trend Micro : Ransom_KAOTEAR.A

 

해당 랜섬웨어는 카카오톡(KakaoTalk) 파일 아이콘 모양을 하고 있으며 2016년 8월 16일 제작 및 내부 테스트를 거쳐 ASD 클라우드에서는 2016년 8월 17일 오전 3~4시경에 수집된 것으로 보입니다.

 

Hidden-Tear 오픈 소스 기반으로 제작된 Korean 랜섬웨어는 바탕 화면 영역에 존재하는 ".asp, .aspx, .csv, .doc, .docx, .html, .hwp, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sql, .txt, .xls, .xlsx, .xml" 파일 확장명에 대하여 AES 암호화 알고리즘을 통해 암호화를 진행하도록 제작되어 있습니다.

 

암호화가 이루어진 파일은 "(원본 파일명).(원본 확장명).암호화됨" 패턴으로 확장명이 변경된 것을 확인할 수 있습니다.

 

 

또한 파일 암호화 완료 후 바탕 화면에 ReadMe.txt 랜섬웨어 결제 안내 파일을 생성하여 "당신의 파일이 암호화 되었습니다." 메시지를 표시합니다.

 

 

화면 상으로는 카카오톡(KakaoTalk) 로고 및 메신저에서 사용하는 이모티콘이 포함된 창을 생성하여 "당신의 파일이 암호화 되었습니다." 메시지를 표시합니다.

 

 

안내에 따라 Tor Browser를 이용하여 암호 해독 서비스에 접속해보면 CrypMIC 랜섬웨어와 매우 유사한 디자인을 한 페이지로 연결되는 것을 알 수 있습니다.

 

Korean 랜섬웨어(Ransomware) 대응 방법

 

.암호화됨 파일 확장명으로 암호화를 시도하는 Korean 랜섬웨어(Ransomware) 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단(제거) 및 일부 훼손된 파일에 대하여 자동으로 복원되는 것을 확인할 수 있었습니다.

 

Korean 랜섬웨어(Ransomware) 자체는 실제 유포를 통해 상당한 피해를 유발한 것으로는 보이지 않지만, 국내에서 제작되었다는 확실한 증거가 확인되고 있습니다.

 

차후 오픈 소스로 공개된 EDA2, Hidden-Tear 랜섬웨어를 기반으로 한 변종 랜섬웨어를 제작하여 금전 수익 목적으로 운영될 수도 있다는 점에서 각별히 주의하시기 바랍니다.

728x90
반응형