본문 바로가기

벌새::Analysis

랜덤(Random) 확장명으로 변신한 Cerber 랜섬웨어 소식 (2016.10.2)

2016년 3월 초 처음 등장한 Cerber 랜섬웨어(Ransomware)는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 가지고 있습니다.

 

특히 장기간 활발하게 유포가 이루어짐에 따라 마이크로소프트(Microsoft)에서는 2016년 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작하였습니다.

 

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점(Exploit)을 통해 자동 감염이 이루어지는 방식을 전파되고 있습니다.

 

  • 2016년 3월 초 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber → # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.vbs
  • 2016년 8월 초 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber2 → # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.url, # DECRYPT MY FILES #.vbs
  • 2016년 8월 말 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber3 → # HELP DECRYPT #.html, # HELP DECRYPT #.txt, # HELP DECRYPT #.url / <2016년 9월 19일경부터 변경> @___README___@.html, @___README___@.txt, @___README___@.url

 

그러던 중 2016년 10월 초부터 "(Random 파일명).(4자리 Random 확장명)" 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌습니다.

 

최초 감염이 이루어진 Cerber 랜섬웨어는 러시아(Russia)에 위치한 "31.184.234.0 ~ 31.184.234.255 / 31.184.235.0 ~ 31.184.235.255" IP 대역에 대하여 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함하여 DDoS 공격 행위를 시도하는 행위를 확인할 수 있습니다.

 

이후 "C:\Windows\System32\wbem\WMIC.exe" shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행합니다.

 

 

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im "(Cerber 악성 파일명).exe" 명령어를 통해 자신을 종료 처리합니다.

 

 

Cerber 랜섬웨어를 통해 파일 암호화 완료 시점에서 바탕 화면 배경을 "C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp" 그림 파일로 변경합니다.

 

또한 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용하여 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 목소리를 출력하여 암호화 사실을 안내합니다.

 

 

이후 "C:\Windows\System32\mshta.exe" 시스템 파일을 통해 "C:\Users\%UserName%\AppData\Local\Temp\README.hta" 파일을 로딩하여 한글로 표기된 랜섬웨어 결제 안내창을 표시하며, 특히 한글화가 기계적인 번역이 아닌 한국어를 일정 수준 이상으로 사용하는 사람이 번역한 것으로 추정됩니다.

 

 

실제로 연결된 Cerber Decryptor 페이지에서는 초창기와 동일하게 한국어를 지원하지는 않으며, 여전히 한글 문서(.hwp)가 암호화 대상이 아니라는 점에서 한국을 집중 표적으로는 하지 않는 것 같습니다.

 

 

Cerber 랜섬웨어의 비트코인(Bitcoin) 실제 가격은 초창기에는 1.24 (= $507)이었는데 현재는 1.000 (= $608)로 상승한 상태이며, 5일이 경과(※ 초창기에는 7일)할 경우 2배 가격으로 상승한다고 안내하고 있습니다.

 

■ 지속적으로 변화하는 Cerber 랜섬웨어 대응 방법

 

최근의 Cerber 랜섬웨어는 백신 및 랜섬웨어 차단 솔루션의 진단을 우회할 목적으로 암호화 방식을 더욱 빠른 주기로 변경하는 것으로 보입니다.

 

현재 AppCheck 안티랜섬웨어 제품은 추가적인 업데이트없이 모든 종류의 Cerber 랜섬웨어에 대하여 파일 암호화 행위 차단 및 일부 훼손된 파일을 자동으로 복원할 수 있는 것을 확인하였습니다.

 

그러므로 백신 프로그램과 함께 AppCheck 안티랜섬웨어를 함께 사용하여 랜섬웨어(Ransomware)에 의한 암호화 피해로부터 보호하시기 바랍니다.

 

  • 우구인 2016.10.08 00:08 댓글주소 수정/삭제 댓글쓰기

    으아 ㅠㅠ 저도 오늘 이 랜섬웨어에 걸렸습니다...정확히 동일한 증상이네요.. ㅠ_ㅠ
    방법을 찾다찾다 벌새님 블로그까지 와서 좋은 글 보고가네요 ....
    그런데 앱체크로도 복구가 안되는듯해요....제가 방법이 잘못된걸까요??

  • 이틀 전 걸린 ㅠㅠ 2016.10.10 06:35 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 이틀전 이거 걸렸어요ㅠㅠ 주인장님 덕분에 많은 것을 알게되어서 감사인사드립니다
    (사전에 앱체크 프로그램이 없었기 때문에 복구는 불가능 ㅠㅠ) 깔끔하게 D드라이브를 포맷했습니다. 닥분에 컴맹인 제가 랜섬으ㅔ어란 용어도 배워가네요~

    궁금한게 있는데요 만약 회사에서 이 cerber 걸려버리게 되면 회사 내트워크를 타고 전체 컴퓨터가 cerber에 걸리게 되는건가요?

    혹시 회사에서 걸려버렸다면 어떻게 대처해야 하나요? 컴퓨터 전원 차단?

    • 랜섬웨어의 대표적인 행위는 최우선적으로 네트워크 공유 폴더를 체크하여 존재할 경우 그쪽 영역부터 파일 암호화를 진행하는 경향이 있습니다.

      이유는 개인보다는 회사를 감염시키면 돈을 지불할 확률이 높기 때문이겠죠.

      그렇다고 모든 랜섬웨어가 그런 것은 아닙니다.

      기업에서는 가장 핵심은 주기적인 백업 외에는 방법이 없겠죠. 갑자기 감염이 확인되어 전체 전원을 내리기는 어렵고 그렇다고 특정 PC가 최초 감염 유발자인데 해당 PC를 찾는 것도 어렵다보니...

  • 이틀 전 걸린 ㅠㅠ 2016.10.11 04:20 댓글주소 수정/삭제 댓글쓰기

    답변 감사합니다^^

  • 이재준 2016.10.11 11:59 댓글주소 수정/삭제 댓글쓰기

    윈도XP에서는 프로그램 실행이 되지 않네요.

  • 랜덤이 아닌것같아요. appdata > roaming > microsoft > crypto > RSA 에 들어있는 폴더 내의 시스템 파일에서 끝에서 두번째-대시- 사이에 있는 4글자를 받아오는 것 같습니다.

  • Flo 2016.10.22 12:55 댓글주소 수정/삭제 댓글쓰기

    Cerber같은 경우 컴퓨터 공격시 본체는 자가삭제 되는 것으로 알고 있습니다.
    그렇다면 저 '본체' 이외에, 그에의해 부가적으로 생겨나는 잔여물들에 의해서는 감염이라던가
    바이러스 전파 등의 문제가 일어나지 않는지에 대해 여쭤보고 싶습니다.
    그리고 'readme.hta'들은 그저 협박안내메시지를 띄울 뿐, 이것 자체로 악성코드를 뿌릴 수 있거나 바이러스를 전파시킬 수는 없지
    않나요? (현재는 USB 내부에 있었던 얘네들을 삭제한 상태입니다.)

    • readme.hta 파일은 정보를 표시하는 메시지일 뿐 악성 파일은 아닙니다.

      Cerber는 1개의 파일로 암호화 등의 악의적 행위를 하며 다른 파일은 생성하지 않는 것으로 알고 있습니다.

  • 앜 걸렸엌ㅋ 2016.10.26 18:13 댓글주소 수정/삭제 댓글쓰기

    혹시 랜섬웨어 걸리기전에
    파일을 읽기 전용으로 속성변경을 해놓으면
    랜섬웨어 방어를 할수 있나요 ?

    그나저나 유포자가 한국인일수 있다니 충격적이네요

  • 앜 걸렸엌ㅋ 2016.10.26 18:59 댓글주소 수정/삭제 댓글쓰기

    아 그리고 크롬이나 파이어 폭스 사용하면 램섬 웨어 어느정도 방어 가능 한지 알구 싶어여

    • 어느 웹 브라우저나 최신 버전인 경우에는 문제가 거의 없지만, 구버전을 사용할 경우에는 웹 브라우저 및 Adobe Flash Player 플러그인 버전에 따라 감염될 수 있습니다.

  • 정말 정말 중요한 파일이 있는데 2016.12.01 23:10 댓글주소 수정/삭제 댓글쓰기

    어찌해야하나요..돈을주면 복구는 시켜주나요?

    복구업체들은 80만원~100만원 요구하는데

    ㅠㅠ

    • 복구 업체를 거치지 않고 본인이 직접 비트코인 구매를 통해 송금하면 복구 업체에 지불해야하는 수수료는 절약할 수 있습니다.

      그리고 Cerber 랜섬웨어의 경우에는 돈을 지불하기 전에 해당 공격자에게 협상을 하시면 20% 정도 할인을 받을 수 있는 듯 합니다.

      메시지 파일에 나온 주소를 Tor 웹 브라우저로 접속해서 메시지 보내는 방식으로 가능할겁니다.

      http://cafe.naver.com/malzero/128316

      이 게시글 한 번 참고해 보시기 바랍니다.

  • 비밀댓글입니다

    • Windows XP 운영 체제는 보안 업데이트가 중지된지 2년이 넘은 것으로 기억됩니다.

      그러므로 XP 사용자는 단순히 인터넷 사이트에만 접속해도 랜섬웨어에 자동으로 감염될 수 있으므로 이런 걱정을 줄이시려면 무조건 Windows 7 또는 Windows 10 운영 체제로 전환하시기 바랍니다.

      랜섬웨어에 감염되어 악성 파일이 실행 중인 상태에서 외장 하드와 같은 추가적인 저장 매체가 연결될 경우 인터넷 연결 여부와 무관하게 추가적인 암호화가 진행될 수도 있습니다.

      그러므로 악성 파일을 반드시 제거한 상태에서 다른 외장 하드나 USB 연결을 하시는 것이 가장 안전합니다.

  • 위에 질문드린 XP이용자입니다 2016.12.26 16:27 댓글주소 수정/삭제 댓글쓰기

    벌새님 위에 질문 올린 XP사용자입니다.

    빠른 답변 너무 감사드립니다. 제가 글을 수정하기도 전에 답변을 달아주셨네요.

    <제가 윈도우검색창으로 검색해보니 리드미.에이치 티 에이 란 파일들이 몇몇 폴더에 생성되어 있었고 저 에이치 티 에이 파일이 생성된 폴더들 안에 들은 파일들은 전부 암호화 되어있었습니다. 주로 사진 mp3 동영상 파일들이 공격대상이었습니다. 그리고 그 안에는 넌 랜섬웨어에 걸렸다라는 영문 메세지가 담긴 jgp 사진 파일도 한장씩 있었고요. 우선 급한대로 암호화된 파일들은 아쉽지만 그냥 그 폴더 자체를 모두 삭제해 버렸습니다.>

    위에 글을 첨부하려 했는데 미리 답글을 달아주셨네요.

    벌새님, 다시 질문을 좀 드리고 싶은데요 벌새님께서 답변해주시기를 <악성 파일이 실행 중인 상태에서 외장 하드와 같은 추가적인 저장 매체가 연결될 경우 인터넷 연결 여부와 무관하게 추가적인 암호화가 진행될 수도 있습니다 그러므로 악성파일을 반드시 제거한 상태에서 다른 외장하드를 연결하는 것이 가장 안전합니다.> 라고 하셨잖아요.

    그렇다면 악성파일을 어떻게 제거해야 하는지요?

    아비라로 티알/에이디. 씨이알삐이알.Y(cloud)를 제거했는데 그렇다면 제가 악성파일을 성공적으로 제거한 것인지요?
    아니면 위에 제가 말씀드린것처럼 암호화된 파일들은 전부 삭제했으니까 그게 악성파일을 제거한 것인지요?

    너무 무지한 질문인줄 알면서도 이렇게 질문을 드리게 되네요...


    P.S. 벌새님 블로그에 댓글을 달려고 하면 계속해서 티스토리 스팸정책에 차단되었다면서 댓글을 달기가 힘드네요.
    뭐가 문제인지 몰라서 위에 영어들을 한글로 바꿔보기도 했습니다.

    • Avira 백신에서 무엇인지 진단해서 삭제한 것으로 보이는데 암호화를 시키는 악성 파일을 제거한 것인지는 정보가 없어서 모르겠습니다.

      단지 감염된 Cerber 랜섬웨어는 파일 암호화 후에는 자동으로 삭제되어 사용자가 추가적으로 악성 파일을 찾아 삭제할 부분은 없습니다.

      단지 자동으로 삭제되었는지 여부는 알 수 없으며, 해당 파일은 임시 폴더(%Temp%)에 랜덤한 파일명으로 생성되어 무슨 파일인지는 제가 확인해 드릴 수 없습니다.

  • 위에 질문드린 XP이용자 2016.12.26 16:30 댓글주소 수정/삭제 댓글쓰기

    위에 avira로 검색해서 tr/ad.Cerber.Y (cloud) 를 제거했습니다.

    (자꾸 스팸이라면서 글 등록이 안되서 ad가 광고란 의미때문에 스팸으로 인식되는건가 싶어서 위에 댓글엔 이것들을 한글로 적었습니다 그러니 등록이 되네요)

    • 제거된 악성 파일이 원래 무슨 폴더에 존재했는지 확인해보시기 바랍니다.

      임시 폴더(Temp)에 있는 파일이 제거되었다면 제거되었을겁니다.

  • 비밀댓글입니다

  • 벌새님께 도움받고 가는 XP이용자입니다 2016.12.26 16:41 댓글주소 수정/삭제 댓글쓰기

    벌새님 그렇다면 현재로서는 추가적인 감염은 없는 것으로 봐도 되는 것이겠지요?

    아.. 정말로 감사드립니다 벌새님!!!!
    이처럼 익명의 공간이란 인터넷에서 벌새님 같은 분을 뵙는다는 것이 요즘같이 삭막한 세상에서는 정말 쉽지 않은데 정말 너무너무 감사드립니다!!!

    다시 한 번 감사합니다 벌새님!!!
    새해 복많이 받으시고 2017년 원하시는 바 모두 이루시는 행복으로만 가득한 한해 되시기를 진심으로 기원하겠습니다!!!


  • 비밀댓글입니다

    • mshta.exe / mshta.exe.mui 파일은 시스템 정상 파일이므로 삭제하시면 안됩니다.

      제 블로그에서 삭제해야 한다고 언급한 부분은 없을겁니다.

      단지 mshta.exe 파일이 hta 파일을 실행시키는 파일이므로 .hta 파일을 삭제하시면 됩니다.

  • 비밀댓글입니다