울지않는벌새 : Security, Movie & Society

랜덤(Random) 확장명으로 변신한 Cerber 랜섬웨어 소식 (2016.10.2)

벌새::Analysis

2016년 3월 초 처음 등장한 Cerber 랜섬웨어(Ransomware)는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 가지고 있습니다.

 

특히 장기간 활발하게 유포가 이루어짐에 따라 마이크로소프트(Microsoft)에서는 2016년 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작하였습니다.

 

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점(Exploit)을 통해 자동 감염이 이루어지는 방식을 전파되고 있습니다.

 

  • 2016년 3월 초 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber → # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.vbs
  • 2016년 8월 초 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber2 → # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.url, # DECRYPT MY FILES #.vbs
  • 2016년 8월 말 등장한 Cerber 랜섬웨어 : (Random 파일명).cerber3 → # HELP DECRYPT #.html, # HELP DECRYPT #.txt, # HELP DECRYPT #.url / <2016년 9월 19일경부터 변경> @___README___@.html, @___README___@.txt, @___README___@.url

 

그러던 중 2016년 10월 초부터 "(Random 파일명).(4자리 Random 확장명)" 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌습니다.

 

최초 감염이 이루어진 Cerber 랜섬웨어는 러시아(Russia)에 위치한 "31.184.234.0 ~ 31.184.234.255 / 31.184.235.0 ~ 31.184.235.255" IP 대역에 대하여 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함하여 DDoS 공격 행위를 시도하는 행위를 확인할 수 있습니다.

 

이후 "C:\Windows\System32\wbem\WMIC.exe" shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행합니다.

 

 

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im "(Cerber 악성 파일명).exe" 명령어를 통해 자신을 종료 처리합니다.

 

 

Cerber 랜섬웨어를 통해 파일 암호화 완료 시점에서 바탕 화면 배경을 "C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp" 그림 파일로 변경합니다.

 

또한 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용하여 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 목소리를 출력하여 암호화 사실을 안내합니다.

 

 

이후 "C:\Windows\System32\mshta.exe" 시스템 파일을 통해 "C:\Users\%UserName%\AppData\Local\Temp\README.hta" 파일을 로딩하여 한글로 표기된 랜섬웨어 결제 안내창을 표시하며, 특히 한글화가 기계적인 번역이 아닌 한국어를 일정 수준 이상으로 사용하는 사람이 번역한 것으로 추정됩니다.

 

 

실제로 연결된 Cerber Decryptor 페이지에서는 초창기와 동일하게 한국어를 지원하지는 않으며, 여전히 한글 문서(.hwp)가 암호화 대상이 아니라는 점에서 한국을 집중 표적으로는 하지 않는 것 같습니다.

 

 

Cerber 랜섬웨어의 비트코인(Bitcoin) 실제 가격은 초창기에는 1.24 (= $507)이었는데 현재는 1.000 (= $608)로 상승한 상태이며, 5일이 경과(※ 초창기에는 7일)할 경우 2배 가격으로 상승한다고 안내하고 있습니다.

 

■ 지속적으로 변화하는 Cerber 랜섬웨어 대응 방법

 

최근의 Cerber 랜섬웨어는 백신 및 랜섬웨어 차단 솔루션의 진단을 우회할 목적으로 암호화 방식을 더욱 빠른 주기로 변경하는 것으로 보입니다.

 

현재 AppCheck 안티랜섬웨어 제품은 추가적인 업데이트없이 모든 종류의 Cerber 랜섬웨어에 대하여 파일 암호화 행위 차단 및 일부 훼손된 파일을 자동으로 복원할 수 있는 것을 확인하였습니다.

 

그러므로 백신 프로그램과 함께 AppCheck 안티랜섬웨어를 함께 사용하여 랜섬웨어(Ransomware)에 의한 암호화 피해로부터 보호하시기 바랍니다.