메뉴 건너뛰기

오에스매니아

99950C335A08F03A0DBEA3



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



99B515335A090011329957

[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



9962C3335A09002003B86B

[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



998150335A09002D0165FE

[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



99FB72335A09003B2ACD39

[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



99DB81335A09004B1E1940

[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.



99D3B3335A08FBD301825E


http://blog.alyac.co.kr/1407

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

토마토좋아

2017.11.26 21:54

네 참고해야 겠네요..

profile

루인루

2017.12.07 00:30

지난 내용이지만 잘보고 갑니다

profile

은희사랑

2017.12.09 13:19

좋은 정보 감사합니다.

profile

mantoman

2017.12.27 16:22

좋은자료 고맙습니다..

profile

suhyou

2018.01.11 09:12
좋은자료 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 174
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 335
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 + 4 티오피 11-14 379
» 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 + 5 티오피 11-13 286
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 + 3 티오피 11-13 174
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 473
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 + 3 티오피 11-09 262
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 + 3 티오피 11-07 319
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 330
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 + 7 티오피 10-27 183
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 + 5 티오피 10-25 190
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 + 6 티오피 10-25 204
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 + 10 티오피 10-24 254
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 + 4 티오피 10-24 137
339 보안 소식 [긴급] 신종 랜섬웨어 ‘마이랜섬’ 출현 + 4 덕애 10-21 206
338 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 195
337 보안 소식 트럼프의 DMZ 방문 두고 시끌시끌 file + 4 따봉 10-19 126
336 보안 소식 에퀴팩스 피해자 수, 1억 4,450만 명으로 늘어 file + 5 따봉 10-19 154
335 보안 소식 “ATM에 든 현금 다 뽑아내는” 멀웨어, 다크 웹에서 판매 중 file + 5 따봉 10-19 177
334 보안 소식 마인크래프트 스킨 앱에서 신종 멀웨어 ‘삭봇’ 발견 file + 5 따봉 10-19 145
333 보안 소식 보안 담당자들이여, 잠들어 있는 우뇌를 깨워라 file + 5 따봉 10-19 126
332 보안 소식 기업의 최대 위협 스피어피싱 위협 인텔리전스’로 대응하라 file + 5 따봉 10-18 114
331 보안 소식 야옹이로 옆집 와이파이 해킹할 수 있다옹 file + 5 따봉 10-18 634
330 보안 소식 KISA 직원, 경품 당첨 위해 악성코드 빼돌렸다 적발 file + 5 따봉 10-18 118
329 보안 소식 신종 랜섬웨어 ‘마이랜섬’ 출현...제2의 케르베르 공포 시작되나 file + 5 따봉 10-18 113
328 보안 소식 하나투어’ 100만건 이어 화장품 쇼핑몰 ‘뷰티퀸’까지 고객정보 털렸 file + 5 따봉 10-18 93
위로