본문 바로가기

벌새::Analysis

한국어까지 지원하는 Adobe 크랙(Crack)으로 유포된 Waldo 랜섬웨어 주의 (2020.3.22)

이전에도 크랙(Crack) 파일처럼 속여 실행을 유도하여 파일 암호화를 진행하던 랜섬웨어(Ransomware)가 발견된 적은 있었습니다.

 

KMSpico 윈도우 정품 인증툴로 위장한 Domino 랜섬웨어 주의 (2016.8.29)

 

그런데 최근 Adobe 관련 프로그램의 크랙(Crack) 파일로 위장한 다양한 이름을 가진 랜섬웨어가 발견되고 있기에 살펴보도록 하겠습니다.

 

<체크멀 블로그> 크랙(Crack) 파일로 위장하여 국내를 노리는 Persephone 랜섬웨어 주의 (2020.2.19)

 

우선 유튜브(YouTube) 영상을 통해 Adobe 크랙 파일로 위장한 Persephone 랜섬웨어가 유포되었던 내용은 체크멀 블로그를 통해 확인하시기 바랍니다.

 

Adobe 크랙(Crack) 파일 다운로드

최초 Adobe 크랙 파일 다운로드를 유도하는 게시글은 확인할 수 없지만 링크를 통해 anonfile 공유 페이지로 연결하여 Adobe Cracker.zip 압축 파일을 다운로드하도록 합니다.

 

  • update\update.exe (SHA-1 : bf75d4bfb1bbbcdd538dea8c5e5234b5e600b6fb - Avast : Win64:Malware-gen)
  • AdobeCrackKR\update_kr.exe (SHA-1 : b61fea1e6cd37c1d4f6e7e7644bdef41572a467d)

현재 확인된 변종은 2종이 있으며 변종에 따라 금전 요구 메시지 파일이 영문 또는 한글로 표기되는 차이점이 존재합니다.

 

Adobe 크랙 파일 속성 정보

다운로드한 ZIP 압축 파일 내부에는 update.exe 또는 update_kr.exe 파일이 존재하며, 사용자가 해당 파일을 직접 실행할 경우 다음과 같은 악의적인 동작이 이루어질 수 있습니다.

 

실행된 Adobe 크랙 파일 CMD 모드창

실행된 파일은 Activating... 문구가 표시되며 드라이브에 존재하는 다양한 문서, 사진, 압축 파일 등을 찾아 암호화를 진행합니다.

 

이후 파일 암호화가 완료될 때 바탕 화면에 생성한 READ_ME.txt 파일을 자동으로 실행하여 다음과 같은 메시지를 표시합니다.

 

WALDO 랜섬웨어 메시지 파일(READ_ME.txt)

먼저 발견된 Waldo 랜섬웨어 메시지 파일(READ_ME.txt)은 영어로 작성되어 있었지만, 이후 발견된 변종의 경우에는 한국어로 작성되어 있으며 동일한 이메일 주소를 사용하고 있다는 점에서 한국인을 대상으로 제작된 것이 분명해 보입니다.

 

특히 한국어 메시지 내용이 영문과 다소 다르게 내용이 추가되어 있으며 상당히 자연스러운 표현이 있다는 점에서 번역기로 만들어지지 않았을 것으로 보입니다.

 

Waldo 랜섬웨어에 의해 훼손된 파일 모습

Waldo 랜섬웨어에 의해 훼손된 파일을 확인해보면 원본 파일명과 확장명 그대로 유지되어 있는 것을 알 수 있습니다.

 

단지 원본 파일과 훼손된 파일의 파일 크기를 비교해보면 최소 3~4배 이상의 파일 크기로 증가한 것을 알 수 있습니다.

 

훼손된 한글 문서(.hwp)

만약 사용자가 훼손된 한글 문서 파일(.hwp)을 오픈 시 열 수 없다는 메시지가 표시된 것을 알 수 있습니다.

 

원본 파일과 훼손된 파일 코드 비교

하지만 훼손된 파일을 원본 파일과 코드 비교를 해보면 일반적인 파일 암호화로 변경된 것과는 매우 다르게 숫자와 영문으로만 코드가 변경된 것을 알 수 있습니다.

 

Waldo 랜섬웨어 파일에 포함된 암호화 키 정보

하지만 Waldo 랜섬웨어 파일 내에서는 RSA 암호화에 사용할 공개키와 비밀키가 포함되어 있기에 외형적으로는 파일 암호화 기능을 가진 것 같지만 실제로는 암호화가 아닌 데이터 훼손형 랜섬웨어로 보입니다.

 

이는 피해자가 공격자에게 요구하는 금전을 지불하여도 실제로는 파일 복구를 할 수 없다는 의미입니다.

 

크랙(Crack) 파일을 이용한 랜섬웨어 공격은 더욱 효과가 좋은 이유 중의 하나가 일반적으로 Crack, Keygen을 실행하는 사용자들은 백신 프로그램에서 악성코드로 탐지할 수 있으므로 실행 시 실시간 보호를 OFF한 후 실행할 수 있다는 점을 역이용할 수 있습니다.

 

그렇기 때문에 백신 프로그램에서 탐지 가능하더라도 사용자가 이를 무시하고 실행하다가 피해를 당할 수 있다는 점에서 피해가 있을 수 밖에 없을 것으로 보이므로 피치 못하게 실행을 할 필요가 있다면 사전에 가상 환경과 같은 안전한 실행 환경에서 문제가 없는지 사전에 테스트를 해보시기 바랍니다.