올해 4월경부터 윈도우 정품 인증툴로 유명한 KMSpico 프로그램으로 위장한 Domino 랜섬웨어가 유포되고 있어 이용자들의 각별한 주의가 요구된다.

해당 랜섬웨어를 분석한 보안전문 블로그 ‘울지않는 벌새’는 “일반적으로 KMSpico 윈도우 정품 인증툴의 경우 백신 프로그램에서 당연히 진단할 수 있다는 인식으로 인해 인터넷 상에서 다운로드 및 실행하는 과정에서 백신 실시간 감시 기능을 비활성화한 상태로 진행하는 경우가 있어 광범위하게 유포될 경우 피해를 입을 가능성이 높다”며 “우선 랜섬웨어 기능이 포함되어 있지 않은 KMSpico 윈도우 정품 인증툴의 경우에는 신뢰된 인증 기관에서 검증할 수는 없는 @ByELDI 디지털 서명이 포함되어 있는 특징”이라고 주의를 당부했다. 다음은 ‘울지않는 벌새’ 측의 상세 설명이다.

KMSpico 윈도우 정품 인증툴처럼 위장한 악성 파일(SHA-1: c55af90403b74167d279e51ff2a5174b07f1c8df - Microsoft : HackTool:Win32/AutoKMS)에는 기본적으로 디지털 서명이 포함되어 있지 않은 상태로 유포되었다.

유포된 KMSpico 윈도우 정품 인증툴을 실행하면 화면 상으로는 KMSpico 프로그램 설치 화면이 표시되지만 백그라운드 방식으로 악의적인 기능이 자동 실행된다.

최초 KMSpico 파일을 실행할 경우 임시 폴더(%Temp%) 내에 정상적인 KMSpico 윈도우 정품 인증툴 설치 파일을 생성 및 실행하고 화면 상으로 표시해 사용자의 눈을 속인다.

하지만 이 과정에서 랜섬웨어 기능을 수행하는 31688EFBC3B9C99914A5BB7FB58AEC9E.exe, help.zip 파일을 추가 생성한 후 help.zip 압축 파일의 비밀번호를 해제한다.

help.zip 압축 파일은 abc123456 비밀번호를 사용하고 있으며, 내부에는 파일 암호화 기능을 수행하는 help.exe 파일과 파일 암호화 후 실행될 HelloWorld.exe 랜섬웨어 결제 안내 파일이 포함되어 있다.

이를 통해 사용자는 KMSpico 윈도우 정품 인증툴 설치에 집중하는 과정에서 실행된 help.exe 파일은 문서, 사진, 중요 데이터 파일들을 .domino 파일 확장명을 가진 암호화된 파일로 변환한다.

모든 암호화가 완료된 후 또는 암호화 기능을 수행하는 help.exe 파일이 종료될 경우 31688EFBC3B9C99914A5BB7FB58AEC9E.exe 파일은 자동으로 HelloWorld.exe 랜섬웨어 결제 안내 파일을 실행해 비트코인(Bitcoin) 결제를 요구하는 메시지 창을 생성한다.

또한 시스템 복원을 통해 암호화된 파일 복구를 할 수 없도록 CMD 모드로 Microsoft 볼륨 섀도 복사본 서비스용 명령줄 인터페이스를 실행해 "vssadmin delete shadows /all" 명령어를 수행한다.

그 외에도 바탕 화면에 파일 암호화 사실과 금전을 요구하는 README_TO_RECURE_YOUR_FILES.txt 랜섬웨어 결제 안내 파일을 생성할 수 있다.

Domino 랜섬웨어 대응 방법에 대해 “KMSpico 윈도우 정품 인증툴로 위장해 몰래 설치된 후 파일 암호화를 수행하는 Domino 랜섬웨어 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단(제거) 및 일부 훼손된 파일을 자동 복원할 수 있다”며 “특히 불법적인 윈도우 정품 인증툴 사용 시 백신 진단 문제로 실시간 감시를 끄는 경향이 강하다는 점에서 내부에 포함된 악성 기능으로 실제 백신에서 차단할 수 있는데도 랜섬웨어 피해를 당할 수 있다는 점에서 AppCheck 안티랜섬웨어와 같은 추가적인 랜섬웨어 차단 솔루션을 함께 사용하는 것을 추천한다”고 조언했다.

★정보보안 & IT 대표 미디어 데일리시큐!★