국내 인터넷 사용자 중 랜섬웨어(Ransomware) 감염으로 피해를 입는 경우 90%~95% 가량이 Cerber 랜섬웨어로 추정될 정도로 1년 넘게 가장 활발하게 유포가 이루어지고 대표적인 랜섬웨어입니다.
Cerber 랜섬웨어(Ransomware)의 가장 대표적인 감염 방식은 보안 업데이트가 제대로 이루어지지 않은 PC 환경에서 취약점(Exploit) 코드가 포함된 웹 사이트에 접속하는 과정에서 자동으로 감염되는 방식이며, 일반적으로 광고 배너를 차단하면 된다고 알려져 있지만 실제로는 문제 사이트에 접속하는 것 자체가 감염의 시작점이 될 가능성이 높습니다.
그런데 2017년 6월 27일경부터 기존의 Cerber 랜섬웨어의 이름이 CRBR Encryptor 랜섬웨어로 변경되어 유포가 이루어지기 시작하였기에 차이가 있는지 살펴보도록 하겠습니다.
현재 대표적인 감염 방식은 웹 사이트 접속 시 취약점(Exploit)을 이용한 자동 감염 방식과 메일 첨부 파일에 동봉된 .js 스크립트 파일을 실행할 경우 감염될 수 있습니다.
CRBR Encryptor 랜섬웨어는 파일 암호화에 앞서 특정 IP 대역에 대하여 UDP 프로토콜로 패킷을 전송하는 행위를 수행한 후 다음과 같은 파일 암호화가 진행됩니다.
우선 암호화된 파일은 기존의 Cerber 랜섬웨어와 동일하게 <Random 파일명>.<4자리 Random 확장명> 형태로 변경되며, 금전 요구를 위한 2종의 메시지 파일(_R_E_A_D___T_H_I_S___<Random>_.hta / _R_E_A_D___T_H_I_S___<Random>_.txt)이 암호화 대상 폴더에 생성됩니다.
생성된 _R_E_A_D___T_H_I_S___<Random>_.hta 메시지는 13개 언어(영어, 아랍어, 중국어, 네덜란드어, 프랑스어, 독일어, 이탈리아어, 일본어, 한국어, 폴란드어, 포르투갈어, 스페인어, 터키어)를 지원하고 있으며, 국내의 경우에는 한국어(Korean)로 표시됩니다.
실제로 메시지를 통해 접속한 결제 안내 사이트에서는 "CERBER DECRYPTOR"로 표기된 점을 보면 CRBR Encryptor 랜섬웨어는 기존의 Cerber 랜섬웨어의 리네임(Rename) 버전임을 알 수 있습니다.
또한 바탕 화면은 CRBR Encryptor 랜섬웨어로 인한 파일 암호화 사실을 안내하는 그림 파일(C:\Users\%UserName%\AppData\Local\Temp\tmp<Random>.bmp)로 변경됩니다.
CRBR Encryptor 랜섬웨어에 의해 암호화된 파일을 살펴보면 2017년 5월 중순경 유포된 Cerber 랜섬웨어의 경우에는 Offset 0x700부터 암호화가 진행된 반면, 이번 버전의 경우에는 Offset 0x708부터 암호화가 시작되도록 변경되었습니다.
■ CRBR Encryptor 랜섬웨어 대응 방법
CRBR Encryptor 랜섬웨어에 감염되어 파일 암호화가 이루어지는 피해를 보는 사용자의 경우 대부분이 웹 사이트 접속 시 취약점(Exploit)에 의한 자동 감염으로 인해 발생할 것으로 생각됩니다.
그러므로 Windows 업데이트 기능을 통해 정기적으로 제공되는 보안 패치를 항상 최신 버전으로 업데이트하시기 바라며, 특히 Windows 8.1, Windows 10 운영 체제 사용자의 경우 Adobe Flash Player 업데이트가 Windows 업데이트를 통해 이루어지므로 항상 자동 업데이트가 이루어지도록 기본 설정을 변경하지 마시기 바랍니다.
참고로 Windows 7 운영 체제 사용자의 경우 Adobe Flash Player 플러그인은 사용자가 직접 업데이트 할 필요가 있으므로 항상 버전 업데이트에 신경쓰기 바랍니다.
그 외에 Oracle Java 플러그인이 설치된 경우 최신 버전을 이용하시기 바라며, 웹 사이트 접속 시 사용하는 웹 브라우저(Internt Explorer, Chrome, Mozilla Firefox 등)를 항상 최신 버전으로 업데이트하시기 바랍니다.
또한 백신 프로그램이 완벽하게 다양한 변종으로 유포되는 랜섬웨어(Ransomware) 차단을 할 수 없으므로 AppCheck 안티랜섬웨어와 같은 전문 제품을 함께 사용하시길 권장합니다.
이번 CRBR Encryptor 랜섬웨어 역시 기존의 Cerber 랜섬웨어(Red 버전)과 마찬가지로 파일 암호화 과정에서 시스템 복원 기능을 삭제하지 않는 것으로 확인되고 있으므로 ShadowExplorer 프로그램을 통해 복구를 원하는 특정 개인 파일을 복구할 수도 있으므로 확인하시기 바랍니다.
마지막으로 이전 Cerber 랜섬웨어부터 공통적으로 확인되는 파일 암호화 대상 영역인데 CRBR Encryptor 랜섬웨어는 운영 체제가 설치된 C 드라이브의 경우 문서 폴더, 바탕 화면, 시스템 기본 폴더를 제외한 C 최상위 루트(Root) 폴더 영역만 암호화가 이루어지므로 중요 파일을 동영상, 사진, 음악 폴더와 같은 라이브러리 폴더에 저장을 해두는 것도 CRBR Encryptor 랜섬웨어에 감염된 경우에도 데이터를 보호할 수 있는 임시 방법이 될 수 있습니다.
1년 전부터 국내 랜섬웨어(Ransomware) 피해자의 대다수가 CRBR Encryptor 랜섬웨어 (= Cerber 랜섬웨어) 하나에 당하고 있다는 점에서 보안 업데이트와 안티랜섬웨어 솔루션을 추가로 사용하여 피해를 당하는 일이 없도록 하시기 바랍니다.