본문 바로가기

벌새::Analysis

한국인이 제작한 카카오톡 위장 랜섬웨어(Ransomware) 소식 (2016.8.20)

반응형

그 동안 파일 암호화를 통한 금전 협박을 하는 랜섬웨어(Ransomware) 악성코드는 하나의 사이버 범죄 산업으로 발전하였으며, 국내에서도 대형 커뮤니티의 광고 배너를 통해 크게 이슈가 된 적이 있었습니다.

 

 

이런 분위기에서 한국인이 랜섬웨어(Ransomware) 유포에 참여한다는 정보는 간접적으로 들었지만 직접 제작까지 한 사례는 정식으로 확인된 것이 없었습니다.

 

그런데 2016년 8월 16일경 국내에서 제작되어 해외 보안 감시망에 노출된 일명 Korean 랜섬웨어(Ransomware)에 대한 정보가 확인되어 살펴보도록 하겠습니다.

 

단지 해당 랜섬웨어가 실제 악의적으로 유포되어 피해를 유발했는지 확인되지 않고 있으며, 내부적으로 테스트 목적으로 제작되었을 가능성이 매우 높아 보입니다.

 

 

  • SHA-1 : ab5dc6e44029dc56d0dd95b75c3db901b7fe629a - Microsoft : Ransom:MSIL/Ryzerlo.A
  • SHA-1 : f7a78789197db011b55f53b30d533eb4297d03cd - Trend Micro : Ransom_KAOTEAR.A

 

해당 랜섬웨어는 카카오톡(KakaoTalk) 파일 아이콘 모양을 하고 있으며 2016년 8월 16일 제작 및 내부 테스트를 거쳐 ASD 클라우드에서는 2016년 8월 17일 오전 3~4시경에 수집된 것으로 보입니다.

 

Hidden-Tear 오픈 소스 기반으로 제작된 Korean 랜섬웨어는 바탕 화면 영역에 존재하는 ".asp, .aspx, .csv, .doc, .docx, .html, .hwp, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sql, .txt, .xls, .xlsx, .xml" 파일 확장명에 대하여 AES 암호화 알고리즘을 통해 암호화를 진행하도록 제작되어 있습니다.

 

암호화가 이루어진 파일은 "(원본 파일명).(원본 확장명).암호화됨" 패턴으로 확장명이 변경된 것을 확인할 수 있습니다.

 

 

또한 파일 암호화 완료 후 바탕 화면에 ReadMe.txt 랜섬웨어 결제 안내 파일을 생성하여 "당신의 파일이 암호화 되었습니다." 메시지를 표시합니다.

 

 

화면 상으로는 카카오톡(KakaoTalk) 로고 및 메신저에서 사용하는 이모티콘이 포함된 창을 생성하여 "당신의 파일이 암호화 되었습니다." 메시지를 표시합니다.

 

 

안내에 따라 Tor Browser를 이용하여 암호 해독 서비스에 접속해보면 CrypMIC 랜섬웨어와 매우 유사한 디자인을 한 페이지로 연결되는 것을 알 수 있습니다.

 

Korean 랜섬웨어(Ransomware) 대응 방법

 

.암호화됨 파일 확장명으로 암호화를 시도하는 Korean 랜섬웨어(Ransomware) 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단(제거) 및 일부 훼손된 파일에 대하여 자동으로 복원되는 것을 확인할 수 있었습니다.

 

Korean 랜섬웨어(Ransomware) 자체는 실제 유포를 통해 상당한 피해를 유발한 것으로는 보이지 않지만, 국내에서 제작되었다는 확실한 증거가 확인되고 있습니다.

 

차후 오픈 소스로 공개된 EDA2, Hidden-Tear 랜섬웨어를 기반으로 한 변종 랜섬웨어를 제작하여 금전 수익 목적으로 운영될 수도 있다는 점에서 각별히 주의하시기 바랍니다.

728x90
반응형
  • 일단 보니까 한국인들에게 친숙한 카카오톡 아이콘을 하고 있어서 일부 사용자들은 쉽게 속을수도 있을것 같습니다.프로그램은 공식 홈피에서 다운로드 하는것이 제일 안전한것 같습니다.

  • terao 2016.08.20 23:16 댓글주소 수정/삭제 댓글쓰기

    예전에 cryptxxx 2.0 걸리고나서 AppCheck 사용중인데 자꾸만 폰으로 찍은 사진파일들 정리하면서

    반복동작으로 인식됬는지 AppCheck 랜섬탐지 복구모드가 자동 돌아가면서 멀쩡한 그림파일들이 오히려 깨져버리는 현상이 일어납니다. ㅠㅠ

    여러파일들이 못쓰게됬네요

    • 정확하게 사진 파일을 어떻게 정리하는 과정에서 발생하는지 알려주시기 바랍니다.

      그리고 과탐 발생하신다면 AppCheck 도구의 위협 로그에서 차단한 프로세스를 AppCheck 옵션의 사용자 신뢰 파일에 추가하시고 사용하시면 됩니다.

      또한 속상된 파일은 랜섬웨어 대피소<Backup(AppCheck)> 폴더에서 찾아보시면 원본 파일이 존재할 겁니다.

  • 알 수 없는 사용자 2016.08.21 18:49 댓글주소 수정/삭제 댓글쓰기

    충격적이네요..

    그런데 과연 한국인일까요? 제생각엔 "한국어"를 쓰는 북한이나 조선족이 아닐까합니다.

  • 별의 별 방법을 랜섬웨어를 퍼트리는군요 ㄷㄷ

  • 우왕우왕 2016.08.23 01:24 댓글주소 수정/삭제 댓글쓰기

    앱체크 머시따!!

  • Nixty 2018.03.01 14:47 댓글주소 수정/삭제 댓글쓰기

    위 사진에서 '응위' 라는 텍스트가 있는데 이게 무슨 뜻일까요...