2024-03-28 21:15 (목)
최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도 혹은 실수?
상태바
최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도 혹은 실수?
  • 길민권
  • 승인 2016.06.12 17:34
이 기사를 공유합니다

구 버전에서 실행될 시 오류가 발생
최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원한다. 개발자가 의도적으로 구 버전 윈도우를 타깃으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없다.
 
트렌드마이크로 측은 자사 블로그 포스팅을 통해 “ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용한다”며 해당 랜섬웨어에 대해 아래와 같이 상세한 설명을 추가했다. 내용은 다음과 같다.
 
피해자가 1주일 내 돈을 지불하지 않으면 모든 파일을 삭제하겠다는 협박도 빼놓지 않았다. 몸값은 1.2BTC(미화 약 500달러)로 책정되었으며, 4일 동안 돈을 지불하지 않을 경우 5BTC(미화 약 2,200달러)로 값이 오르게 된다. 몸값요구화면은 다음과 같이 표시된다.

 
하지만, 트렌드마이크로의 분석에 따르면 ZCRYPT 랜섬웨어는 특이하게 윈도우 XP와 같은 구 버전 윈도우에서 실행될 시 정상적으로 파일을 암호화하거나 몸값요구화면을 표출하지 못하는 것으로 밝혀졌다. 해당 악성코드는 구 버전 윈도우에 존재하지 않는 기능을 호출하기 때문에 구 버전에서 실행될 시 오류가 발생한다는 것이다.
 
또 다른 흥미로운 점은 ZCRYPT는 USB 플래시 드라이브에 복사본을 만들어 이를 통해 확산을 시도한다는 것이다. 크립토 랜섬웨어의 경우 대부분 악성 광고 또는 스팸 메일을 통해 확산되기 때문에 이동식 드라이브로 확산을 시도하는 행위는 크립토 랜섬웨어로에서는 흔치 않은 것이다.
 
C&C 서버의 도메인 명은 poiuytrewq.ml 이었다. 이것은 QWERTY 키보드의 제일 상단 qwertyuiopdml를 거꾸로 적은 것이다. 도메인의 .ml은 2013년 4월부터 무료로 제공되었다. 도메인 등록이 등록자의 신원을 노출하지 않기 때문에 익명으로 공격을 진행할 수 있었으며, 현재 해당 도메인은 ‘취소됨’, ‘중지됨’, ‘거부됨’, ‘예약됨’으로 태그되어 있다.
 
대응방안도 설명했다. 백업은 크립토 랜섬웨어를 예방하는 가장 좋은 방법이다. 3-2-1 규칙을 시행하여 백업을 생활하면 유사한 공격을 당한 상황에서도 안심할 수 있다.
또한 공격을 받아도 몸값을 지불하지 않을 것을 강력하게 권장한다. 공격자들이 돈을 계속 벌어들인다면 이는 결국 계속되는 공격으로 이어지기 때문이다.
 
한편 최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거한다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★