13 랜섬웨어, Heart Bleed 공격, APT 공격
모두가 기본적으로 활용하는 개인 PC의 백신 프로그램 알약 오늘 8월30일자로 큰 알약 이슈가 발생했습니다. 내용은 매우 간단합니다. 윈도우 사용 중 위와같은 백신 알약의 랜섬웨어 감염알림을 받을 수 있습니다. 이때 형광펜으로 칠해져있는 신고하기를 절대 클릭하시면 안됩니다. 랜섬웨어 감염인데 왜 정상 작동한 알약을 활용하지 말라는거지? 위와 같은 의문이 들 수 있습니다. 결론부터 말하자면 랜섬웨어 감염이 아닙니다. 백신 알약의 오류입니다.
3 MBR 변조 및 MFT 암호화
파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 아래와 같이 CHKDSK 작업이 진행 중임을 나타낸다. 그야말로 디스크를 점검하는 것처럼 보이지만 실상은 이용자 PC 의 MFT 를 암호화하고 있는 것입니다.
그림 5 MFT 암호화 MFT 암호화가 완료되면 다시 PC가 부팅되며 노란 해골 화면이 출력됩니다.
그리고 다음 화면으로 진행하면 아래와 같이 GoldenEye 랜섬웨어에 의해 사용자의 PC 가 암호화 되었다는 사실을 알려줍니다.
3 파일 암호화
드롭된 랜섬웨어는 사용자의 자료를 찾아 암호화합니다. 암호화된 파일의 이름에는 a.xlsx 가 a.xlsx.12345678 과 같이 임의의 8자리 문자가 덧붙여진다. 또한 YOURFILESAREENCRYPTED 라는 이름의 랜섬노트가 생성 된 것을 확인 할 수 있어요.
그림 3 암호화된 파일 랜섬노트에는 아래와 같이 사용자의 파일이 암호화 되었다는 문구와 복호화 안내 문구가 써있습니다.
2 실행 과정
첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행됩니다. 다른 랜섬웨어와 동일하게 이용자 자료를 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 PC의 MBR을 변조합니다. 이 두 동작이 완료되면 PC를 강제로 재부팅 시켜 변조된 MBR의 코드가 실행됩니다. 모든 동작을 수행한 뒤 랜섬웨어는 아래와 같은 해골 문양의 화면을 출력합니다.
3 돈 요구
랜섬노트에서 이끄는 페이지로 접속할 경우 GoldenEye 랜섬웨어 복호화 사이트에 접속할 수 있어요. 해당 랜섬웨어는 약 1.3 비트코인을 요구하고 있습니다. 현재 FAQ는 활성화 되어 있지 않고 Support 페이지를 통해 랜섬웨어 배포자에게 질의를 할 수 있어요. 질의를 통해 좀 더 분명한 소개를 하고 있으며 사용자의 결제를 유도합니다.
그림 7 결제 안내 페이지 Petya 랜섬웨어 악성코드 군은 지속해서 새로운 모습으로 나타나 이용자 PC를 위협하고 있습니다.
Petya와 비교했을 때, GoldenEye 랜섬웨어는 더 강한 악성 동작으로 사용자에게 큰 손해를 주고 있습니다. 현재 국내에서는 활기차게 유포되고 있지 않지만 해당 랜섬웨어가 이전부터 이메일 첨부 계획을 사용해왔으며, 주로 첨부 파일의 이름을 ‘이력서’와 관련 짓는다는 점에서 기업 채용 담당자의 각별한 조심을 필요합니다.
자주 묻는 질문
3 MBR 변조 및 MFT
파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 자세한 내용은 본문을 참고하시기 바랍니다.
3 파일 암호화
드롭된 랜섬웨어는 사용자의 자료를 찾아 암호화합니다. 궁금한 사항은 본문을 참고하시기 바랍니다.
2 실행 과정
첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행됩니다. 자세한 내용은 본문을 참고 해주시기 바랍니다.