메뉴 건너뛰기

오에스매니아

99950C335A08F03A0DBEA3



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



99B515335A090011329957

[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



9962C3335A09002003B86B

[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



998150335A09002D0165FE

[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



99FB72335A09003B2ACD39

[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



99DB81335A09004B1E1940

[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.



99D3B3335A08FBD301825E


http://blog.alyac.co.kr/1407

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

토마토좋아

2017.11.26 21:54

네 참고해야 겠네요..

profile

루인루

2017.12.07 00:30

지난 내용이지만 잘보고 갑니다

profile

은희사랑

2017.12.09 13:19

좋은 정보 감사합니다.

profile

mantoman

2017.12.27 16:22

좋은자료 고맙습니다..

profile

suhyou

2018.01.11 09:12
좋은자료 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 117
369 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 8 Op 02-18 553
368 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 8 Op 02-02 495
367 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 4 Op 02-02 536
366 “가상화폐 거래소 10개사, 보안기준 통과업체 0곳” + 10 Op 01-25 291
365 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 22 Op 01-18 570
364 보안 자료 인텔 컴퓨터, 또 해킹 취약점 나와…"노트북 해킹 30초면 돼" file + 8 Op 01-14 323
363 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 + 3 덕애 12-30 141
362 보안 소식 리투아니아, 보안 우려로 카스퍼스키 소프트웨어 사용 금지 + 3 티오피 12-25 153
361 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 531
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 + 5 티오피 12-19 212
359 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 311
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 236
357 보안 소식 [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 3038
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? + 5 티오피 12-05 266
355 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 271
354 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 + 6 티오피 11-28 142
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 + 8 티오피 11-23 143
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 323
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 + 4 티오피 11-14 349
» 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 + 5 티오피 11-13 277
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 + 3 티오피 11-13 166
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 441
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 + 3 티오피 11-09 258
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 + 3 티오피 11-07 313
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 315
위로