본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
보안프로그램으로 위장한 랜섬웨어 발견2018.10.05
보안프로그램으로 위장한 랜섬웨어 발견
► MalwareHunterTeam 연구원은 SuperAntiSpyware 보안프로그램으로 위장한 Kraken Cryptor 랜섬웨어 변종을 발견

​► 해당 보안프로그램 서버에 랜섬웨어 실행 파일이 업로드 되어 사용자들에게 배포됨


KraKen Cryptor 랜섬웨어
► 공격자들은 Kraken Cryptor 랜섬웨어를 superantispyware.com 사이트의 접근 권한을 통해 배포
   ※ 감염 피해자들의 다운로드 경로 접근 방법에 대해서는 밝혀진바 없음
 
악성파일 다운로드 화면
그림 1. 악성 파일 다운로드 화면

► 정식 프로그램명에서 ‘s’를 추가한 ‘SUPERAntiSpywares.exe’라는 가짜 실행파일을 배포
 
악성 파일과 정상 프로그램
그림 2. 악성 파일과 정상 프로그램

► 랜섬웨어가 실행되면 ‘C:\ProgramData\Safe.exe’를 실행하여 감염 PC의 이벤트 로그를 C:\ProgramData\EventLog.txt로
   저장하고, 구성 파일과 비교
  ※ 구성파일에는 중지할 프로세서, 공개 암호화키, 공격자 연락처, 랜섬 가격, 확장자, 제외 파일 및 폴더, 제외 국가 및 언어 등이 포함

► 감염 PC의 언어, 위치(국가), 확장자를 확인하여 ‘00000000-Lockonion’ 형식으로 암호화 진행
   ※ 파일명의 숫자는 파일이 암호화 될 때마다 증가
 
랜섬웨어 실행 후 암호화된 파일
그림 3. 랜섬웨어 실행 후 암호화된 파일

► 이후 PC의 여유 저장 공간을 0으로 덮고 Windows 시작 복구 기능을 비활성화, 백업 데이터를 삭제하여 복구를 어렵게 함


시사점
► 보안프로그램 제조사는 자사 서버에 존재하는 악성 파일을 삭제하고 서버 내 취약점을 조치하였다고 밝힘
► 해당 악성코드 다운로드 접근 경로 및 해독방법이 공개되지 않았으므로 출처를 알 수 없는 파일 삭제 및 최신 버전의 소프트웨어
   사용 등 사용자들의 각별한 주의가 필요


[출처]
1. Bleepingcoumputer, “Kraken Cryptor Ransomeware Masquerading as SuperAntiSpyware Security Program”, 2018.9.14.

작성 : 침해사고분석단 종합분석팀
키워드 랜섬웨어