2020-05-27 11:05 (수)
기업내 1대 PC 감염되면 다른 PC 파일까지 암호화...'MAKTUB Locker' 랜섬웨어
상태바
기업내 1대 PC 감염되면 다른 PC 파일까지 암호화...'MAKTUB Locker' 랜섬웨어
  • 길민권
  • 승인 2016.04.01 18:20
이 기사를 공유합니다

C&C 서버 연결없이도 파일 암호화...주의
C&C 서버와의 통신을 전혀 하지 않고 파일 암호화를 하는 일명 SamSam 또는 MAKTUB Locker 랜섬웨어가 발견돼 이용자들의 각별한 주의가 요구된다.
 
일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 실행 시 C&C 서버와의 통신을 통해 파일 암호화를 시작하도록 제작되어 있다. 하지만 SamSam 또는 MAKTUB Locker 랜섬웨어는 일명 오프라인 암호화 방식으로 파일 암호화 과정에서 C&C 서버와의 통신을 하지 않는 것이 특징이다.


?이미지 출처. 울지않는 벌새 블로그
 
해당 랜섬웨어를 분석한 보안블로그 ‘울지않는 벌새’는 “이로 인해 네트워크 연결이 이루어지지 않는 폐쇄망에서도 파일 암호화를 통한 피해를 유발할 수 있다”며 주의를 당부했다.
 
‘울지않는 벌새’는 실제 테스트 결과도 공개했다. 테스트에서는 인터넷 연결이 이루어지지 않도록 네트워크를 끊은 상태에서 진행했다. 공개된 정보에 따르면 ①메일 첨부 파일 ②보안 업데이트가 이루어지지 않은 취약한 서버를 대상으로 원격으로 감염시키는 방식으로 유포가 이루어지고 있다고 한다.
 
테스트 결과는 다음과 같다.
 
확인된 파일은 메일을 통해 유포된 것으로 추정되는 메모장 파일 아이콘으로 위장한 TOS-update-2016-Marth-18.scr 화면 보호기 파일(SHA-1 : b35c295f625ce4203f70106d33ecdfb39be3537b - 알약(ALYac) : Trojan.Ransom.Maktub)이다.
 
악성 파일이 실행되면 임시 폴더에 랜덤(Random)한 이름을 가진 CAB 압축 파일을 생성하며, 해당 파일 내부에는 privacy_tos_update.rtf 이름을 가진 문서가 동봉되어 있다.
 
압축 해제된 privacy_tos_update.rtf 문서는 실행된 랜섬웨어 파일명(TOS-update-2016-Marth-18)과 동일하게 변경(TOS-update-2016-Marth-18.rtf)되어 "Updating our privacy policies and terms of service" 문서를 보여준다.
 
이를 통해 사용자가 메일을 통해 다운로드해 실행한 메모장 파일 아이콘을 가진 파일이 문서처럼 사용자를 속일 수 있으며, 이 과정에서 네트워크 통신없이 자동으로 파일 암호화를 수행한다.
 
암호화가 진행된 파일은 HWP 문서를 포함해 문서, 사진, 압축, 음악 파일 등 광범위하게 암호화가 진행되며 암호화된 파일 확장명은 랜덤(Random)하게 생성된다.
 
특히 기존 랜섬웨어와는 다르게 원본 파일을 압축 후 암호화하는 방식으로 암호화 속도 향상을 꾀하고 있다.
 
파일 암호화가 완료된 후에도 사용자가 실행한 악성 파일은 각 폴더에 생성된 금전 요구 메시지(_DECRYPT_INFO_(랜덤 확장명).html)를 로딩해 최상위 화면으로 노출한다.
 
해골 모양의 MAKTUB Locker 랜섬웨어는 3일 이내에 특정 웹사이트를 방문해 비트코인(Bitcoin) 가상 화폐를 지불하도록 안내하고 있다.
 
참고로 감염 시 생성되는 임시 폴더에 생성되는 GIF 파일은 금전 요구 메시지의 좌측 상단에 MAKTUB Locker 로고를 표시하기 위해 추가적으로 생성된다.
 
MAKTUB Locker 랜섬웨어의 가격표를 확인해보면 최대 15일 이후에는 최초 가격의 3배까지 인상되며, 기간이 경과한 경우 저장된 암호화키를 보증할 수 없으므로 빠른 시간 내에 돈을 지불하기를 바라고 있다.
 
울지않는 벌새 측은 “MAKTUB Locker 랜섬웨어는 기업과 같은 네트워크 환경인 경우 1대의 감염으로 로컬 네트워크를 통해 다른 PC에 저장된 파일까지 암호화를 수행하며 C&C 서버와의 통신이 없다는 점에서 더더욱 감염에 주의할 필요가 있다”고 경고했다.
 
또 “해당 랜섬웨어(Ransomware)는 AppCheck 랜섬웨어 백신을 통해 파일 암호화 행위 차단 및 일부 훼손된 파일을 자동 복구하는 것으로 확인됐다”며 “더욱이 유포 방식이 보안 취약점을 가진 서버를 원격으로 감염시킬 수 있어 서버단에서는 보안 패치에 더욱 신경을 써야 할 것”이라고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com