- 작성일
- 2017.10.10
- 수정일
- 2017.10.10
- 작성자
- 관리자
- 조회수
- 2462
올크라이·Hacked 등 랜섬웨어
[보안뉴스 김경애 기자]
추석 연휴를 노려 ‘올크라이(Allcry)’ 랜섬웨어가 유포됐으며, 파일 확장자명 뒤에 Hacked를 덧붙이는 형태의 ‘Hacked’ 랜섬웨어와 .SKUNK 확장자를 넣은 ‘Globelmposter’ 랜섬웨어까지 국내 웹사이트가 랜섬웨어로 몸살을 앓고 있다. 이 뿐만 아니라 신규 악성코드는 지속적으로 증가한 것으로 조사됐으며, 모바일 악성코드 역시 기승을 부리고 있어 악성코드에 감염되지 않도록 각별한 주의를 기울여야 한다.
올크라이 랜섬웨어, 국내 강타
지난 29일 추석 연휴기간을 노리고 정상 프로그램으로 위장한 올크라이 랜섬웨어가 국내를 강타했다. 올크라이는 일반적인 랜섬웨어가 문서 파일만 암호화한 뒤 금전을 요구하는 것과 달리 특정 조건을 만족하는 파일을 제외한 모든 파일을 암호화 한 뒤 금전을 요구한다.
올크라이 랜섬웨어의 주목할만한 특징은 대상이 되는 파일을 찾아 암호화를 진행하나, 암호화 동작 전 특정 원격지에 감염 사용자 정보 전송에 실패할 경우 암호화를 진행하지 않는다는 점이다. 암호화 루틴이 동작할 경우 현재 실행중인 파일 및 화이트리스트(WhiteList)에 등록된 문자열을 포함하지 않은 모든 경로의 모든 파일이 암호화된다. 암호화가 완료되면 원본 파일명과 함께 확장자를 .allcry로 변경한다. 랜섬노트에는 한글을 지원하고 있어 국내 사용자를 노린 것으로 분석되고 있다.
잉카인터넷에 따르면 올크라이 랜섬웨어는 특정 문자열을 제외한 모든 파일을 암호화하기 때문에 원본 파일을 복구하지 않으면 PC의 정상적인 사용이 불가능해 더욱 위협적이다. 이에 사용자들은 출처가 불분명한 파일의 설치 및 실행에 주의하고, 중요한 자료는 반드시 별도로 백업해야 한다고 잉카인터넷 측은 당부했다.
한편, 이번 올크라이 랜섬웨어는 북한 해커조직이 제작한 랜섬웨어일 가능성이 높은 것으로 분석되고 있다. 또 다른 보안전문가의 분석에 따르면 일부 실행파일(EXE) 등도 암호화시키는 등 사이버테러의 성격을 포함하고 있다며 해커는 한국의 웹하드 이용자와 인터넷 광고스폰서 프로그램을 변조해 은밀하게 랜섬웨어를 유포했다고 밝혔다.
특히, 한국 정부관련 도메인의 한국 서버 IP를 통해 랜섬웨어 감염자들에게 연락을 취한 것으로 확인됐다. 따라서 웹하드 이용시 각별한 주의가 필요하며, 백신과 소프트웨어는 최신 버전으로 유지하는 것이 바람직하다.
Hacked 및 Globelmposter 랜섬웨어, 우리도 있다
지난 28일에는 원본파일 확장자명 뒤에 hacked를 덧붙이는 형태의 Hacked 랜섬웨어가 발견됐다.
Hacked 랜섬웨어에 감염되면 윈도우 업데이트를 진행하는 듯한 팝업 화면을 보여주면서 사용자 PC의 중요 파일들을 암호화하고, 4개 언어로 복호화 비용을 요구한다.
이와 관련 잉카인터넷 측은 “이번에 발견된 Hacked 랜섬웨어는 이미 사용자들에게 알려진 직쏘(Jigsaw) 랜섬웨어 변종으로 볼 수 있다”며 “일반 랜섬웨어와 마찬가지로 사회공학적인 수법을 이용해 지속적인 스팸 메일로 사용자를 공격할 수 있는 만큼 피해를 입지 않도록 주의해야 한다”고 설명했다.
이보다 하루 앞선 지난 27일에는 .SKUNK 확장자를 넣은 Globelmposter 랜섬웨어가 발견되기도 했다. 이 랜섬웨어는 여러 확장자를 암호화하는 랜섬웨어로 계속해서 변종이 발견되고 있는 상황이다.
이와 관련 잉카인터넷 측은 다른 랜섬웨어에 비해 피해사례가 많이 발견되진 않았지만 이메일에 첨부해 이름을 바꾸거나 숨김 속성으로 바꿔 실행될 경우 피해를 볼 수 있다고 우려했다.
게임 앱 청구서로 위장한 애플 피싱 메일
지난 8월에는 국내 이용자들을 대상으로 ‘클래시 오브 클랜’ 게임 앱 청구서로 위장한 애플 피싱 메일이 유포됐다.
발견된 피싱 메일은 Apple Store에서 ‘Clans of Clans’라는 게임을 구입했으니 첨부파일에서 청구서를 확인하라는 내용과 함께 PDF 파일이 첨부돼 있다. 하지만 메일에 첨부된 PDF 파일은 청구서가 아니라 링크 클릭을 통해 피싱 사이트 접속을 유도하고 있다.
앱 구매를 승인하지 않았을 경우, 공격자는 링크를 통해 애플 사이트에 방문해 ‘구매 취소를 할 수 있다’는 내용을 포함하고 있다. 이용자가 링크를 클릭했을 경우, 애플과 유사한 이름의 피싱 사이트로 연결되며, 아이디와 비밀번호, 그리고 추가정보 입력을 통해 카드정보와 같은 개인정보를 요구한다.
이에 대해 이스트시큐리티 측은 “피싱 메일은 고전적 공격 방법이지만 상당히 효과적이라 많은 공격자들이 악용하고 있다”며 “이용자들은 출처를 확인하기 힘든 메일에 대해 주의를 기울이는 보안 습관을 가져야 한다”고 설명했다.
새로운 악성코드 유포, 3주 연속 증가
한 주간 신규 악성코드 유포 활동이 3주 연속 증가한 것으로 조사됐다. 빛스캔이 발표한 9월 4주차 인터넷 위협 분석 보고서에 따르면 새로운 유형의 악성코드가 지속적으로 증가하고 있다며 주의를 당부했다.
특히, 유해사이트가 지난 주에 비해 대폭 증가해 약 4,200만여건으로 집계됐다. 이와 관련 빛스캔 측은 “공격자가 도메인 기반 차단을 우회하고, 자동화 도구 사용, 기존 경로 재사용, 난독화 또는 SSL을 이용한 유포 정황도 포착되고 있다”며 “경유지와 유포지를 활용할 경우 막대한 피해가 예상된다”고 우려했다. 이외에 지난 9월 25일부터 계정 정보를 탈취하는 활동이 재시작돼 주의가 필요하다고 덧붙였다. 한편, 감염된 PC의 공인 IP는 약 1만2천여건으로 집계됐다.
모바일 악성코드, 바이러스 급증
NSHC가 분석한 ‘Droid-X 3.0 최근 2주간(2017년 9월 13일~9월 26일) 모바일 악성코드 통계’에 따르면 PUA, 애드웨어, 바이러스 모두 증가한 것으로 집계됐다. 26일에는 PUA 3117개, 바이러스 2217개, 애드웨어 188개로 각각 크게 증가했으며, 그중에서도 바이러스의 경우 약 3배 가량 급증한 것으로 나타났다.
바이러스(VIRUS)는 사용자의 스마트폰에서 악성행위를 하는 어플리케이션이며, PUA(Potentially Unwanted Application)는 사용자가 원하지 않는 프로그램으로 사용자에게 불편함을 제공한다. 애드웨어(ADWARE)는 광고가 포함된 어플리케이션으로, 사용자 동의 없이 스마트폰 자원을 사용하거나 활동기록을 전송한다.
이어 최근 4개월간 수집된 악성코드를 살펴보면 PUA.Shedun이 85,058개로 가장 많이 수집됐으며, 이어 PUA.SmPay가 63,735개로 뒤를 이었다. 지속적으로 수집량이 증가하던 Trojan.Downloader는 4위에서 3위로 순위가 뛰어올랐다.
가장 많이 수집된 PUA.Shedun는 정상 어플리케이션에서 애드웨어를 포함하여 리패키징한 후 배포되며, 지속적으로 광고를 노출시켜 광고사에 수익을 발생시킬 수 있다. 특히, 루트 권한을 요청하는 경우도 있어 주의가 요구된다.
2위를 차지한 PUA.SmsPay는 사용자의 연락처를 외부로 전송할 수 있으며, 특정 번호로 문자를 전송해 과금을 유발할 수 있다.
3위로 올라선 Trojan.Downloader는 사용자의 동의 없이 애플리케이션을 다운로드받는 종류의 바이러스로, 주로 악성 애플리케이션을 다운받아 설치를 유도하는 역할을 한다.
[김경애 기자(boan3@boannews.com)]
===================================================
교육부 사이버안전센터 입니다.
다음과 같은 사항을 권고드립니다.
■ 개요
`올크라이(allcry)` 랜섬웨어 관련 분석 결과 공유 및 긴급 조치 권고
■ 내용
□ 공격 정보
- 감염 시 PC내 문서, 실행파일(hwp.exe 등)을 암호화하고 확장자를 `allcry`로 변경
- 암호 해독을 목적으로 0.2 비트코인을 지불 요구
- 유포지는 file.qbridge.co.kr/launcher/QBridge.exe, 경유지는 ad.podosee.com임
* 유포지와 경유지 모두 KISA에서 차단 조치 완료
□ 탐지 방법
- 경유지 접속 url 확인(adpodosee.com/css/count.php?infp=brgin&code=PC마다 다른 값)
■ 대책
- 백신 및 운영체제 최신 업데이트 유지
- 불필요한 사이트 접근(애드웨어) 의심 파일 또는 메일 열람 금지
- 중요 문서는 네트워크가 분리된 저장장치에 상시 백업
上記 내용으로 피해가 발생하거나, 수신이 확인되면 즉시 교육부 사이버안전센터로 신고 바랍니다.
(053-714-0777, cert1@ecsc.go.kr)
추석 연휴를 노려 ‘올크라이(Allcry)’ 랜섬웨어가 유포됐으며, 파일 확장자명 뒤에 Hacked를 덧붙이는 형태의 ‘Hacked’ 랜섬웨어와 .SKUNK 확장자를 넣은 ‘Globelmposter’ 랜섬웨어까지 국내 웹사이트가 랜섬웨어로 몸살을 앓고 있다. 이 뿐만 아니라 신규 악성코드는 지속적으로 증가한 것으로 조사됐으며, 모바일 악성코드 역시 기승을 부리고 있어 악성코드에 감염되지 않도록 각별한 주의를 기울여야 한다.
▲ 올크라이 랜섬웨어 랜섬노트[이미지=잉카인터넷 블로그]
올크라이 랜섬웨어, 국내 강타
지난 29일 추석 연휴기간을 노리고 정상 프로그램으로 위장한 올크라이 랜섬웨어가 국내를 강타했다. 올크라이는 일반적인 랜섬웨어가 문서 파일만 암호화한 뒤 금전을 요구하는 것과 달리 특정 조건을 만족하는 파일을 제외한 모든 파일을 암호화 한 뒤 금전을 요구한다.
올크라이 랜섬웨어의 주목할만한 특징은 대상이 되는 파일을 찾아 암호화를 진행하나, 암호화 동작 전 특정 원격지에 감염 사용자 정보 전송에 실패할 경우 암호화를 진행하지 않는다는 점이다. 암호화 루틴이 동작할 경우 현재 실행중인 파일 및 화이트리스트(WhiteList)에 등록된 문자열을 포함하지 않은 모든 경로의 모든 파일이 암호화된다. 암호화가 완료되면 원본 파일명과 함께 확장자를 .allcry로 변경한다. 랜섬노트에는 한글을 지원하고 있어 국내 사용자를 노린 것으로 분석되고 있다.
[이미지=잉카인터넷 블로그]
잉카인터넷에 따르면 올크라이 랜섬웨어는 특정 문자열을 제외한 모든 파일을 암호화하기 때문에 원본 파일을 복구하지 않으면 PC의 정상적인 사용이 불가능해 더욱 위협적이다. 이에 사용자들은 출처가 불분명한 파일의 설치 및 실행에 주의하고, 중요한 자료는 반드시 별도로 백업해야 한다고 잉카인터넷 측은 당부했다.
한편, 이번 올크라이 랜섬웨어는 북한 해커조직이 제작한 랜섬웨어일 가능성이 높은 것으로 분석되고 있다. 또 다른 보안전문가의 분석에 따르면 일부 실행파일(EXE) 등도 암호화시키는 등 사이버테러의 성격을 포함하고 있다며 해커는 한국의 웹하드 이용자와 인터넷 광고스폰서 프로그램을 변조해 은밀하게 랜섬웨어를 유포했다고 밝혔다.
특히, 한국 정부관련 도메인의 한국 서버 IP를 통해 랜섬웨어 감염자들에게 연락을 취한 것으로 확인됐다. 따라서 웹하드 이용시 각별한 주의가 필요하며, 백신과 소프트웨어는 최신 버전으로 유지하는 것이 바람직하다.
Hacked 및 Globelmposter 랜섬웨어, 우리도 있다
지난 28일에는 원본파일 확장자명 뒤에 hacked를 덧붙이는 형태의 Hacked 랜섬웨어가 발견됐다.
▲ Hacked 랜섬웨어 감염 모습[이미지=잉카인터넷 블로그]
Hacked 랜섬웨어에 감염되면 윈도우 업데이트를 진행하는 듯한 팝업 화면을 보여주면서 사용자 PC의 중요 파일들을 암호화하고, 4개 언어로 복호화 비용을 요구한다.
[이미지=잉카인터넷 블로그]
이와 관련 잉카인터넷 측은 “이번에 발견된 Hacked 랜섬웨어는 이미 사용자들에게 알려진 직쏘(Jigsaw) 랜섬웨어 변종으로 볼 수 있다”며 “일반 랜섬웨어와 마찬가지로 사회공학적인 수법을 이용해 지속적인 스팸 메일로 사용자를 공격할 수 있는 만큼 피해를 입지 않도록 주의해야 한다”고 설명했다.
이보다 하루 앞선 지난 27일에는 .SKUNK 확장자를 넣은 Globelmposter 랜섬웨어가 발견되기도 했다. 이 랜섬웨어는 여러 확장자를 암호화하는 랜섬웨어로 계속해서 변종이 발견되고 있는 상황이다.
▲ Globelmposter 랜섬웨어 랜섬노트[이미지=잉카인터넷 블로그]
이와 관련 잉카인터넷 측은 다른 랜섬웨어에 비해 피해사례가 많이 발견되진 않았지만 이메일에 첨부해 이름을 바꾸거나 숨김 속성으로 바꿔 실행될 경우 피해를 볼 수 있다고 우려했다.
게임 앱 청구서로 위장한 애플 피싱 메일
지난 8월에는 국내 이용자들을 대상으로 ‘클래시 오브 클랜’ 게임 앱 청구서로 위장한 애플 피싱 메일이 유포됐다.
[이미지=잉카인터넷 블로그]
발견된 피싱 메일은 Apple Store에서 ‘Clans of Clans’라는 게임을 구입했으니 첨부파일에서 청구서를 확인하라는 내용과 함께 PDF 파일이 첨부돼 있다. 하지만 메일에 첨부된 PDF 파일은 청구서가 아니라 링크 클릭을 통해 피싱 사이트 접속을 유도하고 있다.
앱 구매를 승인하지 않았을 경우, 공격자는 링크를 통해 애플 사이트에 방문해 ‘구매 취소를 할 수 있다’는 내용을 포함하고 있다. 이용자가 링크를 클릭했을 경우, 애플과 유사한 이름의 피싱 사이트로 연결되며, 아이디와 비밀번호, 그리고 추가정보 입력을 통해 카드정보와 같은 개인정보를 요구한다.
이에 대해 이스트시큐리티 측은 “피싱 메일은 고전적 공격 방법이지만 상당히 효과적이라 많은 공격자들이 악용하고 있다”며 “이용자들은 출처를 확인하기 힘든 메일에 대해 주의를 기울이는 보안 습관을 가져야 한다”고 설명했다.
새로운 악성코드 유포, 3주 연속 증가
한 주간 신규 악성코드 유포 활동이 3주 연속 증가한 것으로 조사됐다. 빛스캔이 발표한 9월 4주차 인터넷 위협 분석 보고서에 따르면 새로운 유형의 악성코드가 지속적으로 증가하고 있다며 주의를 당부했다.
▲ 유해사이트 집계현황[이미지=빛스캔]
특히, 유해사이트가 지난 주에 비해 대폭 증가해 약 4,200만여건으로 집계됐다. 이와 관련 빛스캔 측은 “공격자가 도메인 기반 차단을 우회하고, 자동화 도구 사용, 기존 경로 재사용, 난독화 또는 SSL을 이용한 유포 정황도 포착되고 있다”며 “경유지와 유포지를 활용할 경우 막대한 피해가 예상된다”고 우려했다. 이외에 지난 9월 25일부터 계정 정보를 탈취하는 활동이 재시작돼 주의가 필요하다고 덧붙였다. 한편, 감염된 PC의 공인 IP는 약 1만2천여건으로 집계됐다.
모바일 악성코드, 바이러스 급증
NSHC가 분석한 ‘Droid-X 3.0 최근 2주간(2017년 9월 13일~9월 26일) 모바일 악성코드 통계’에 따르면 PUA, 애드웨어, 바이러스 모두 증가한 것으로 집계됐다. 26일에는 PUA 3117개, 바이러스 2217개, 애드웨어 188개로 각각 크게 증가했으며, 그중에서도 바이러스의 경우 약 3배 가량 급증한 것으로 나타났다.
▲ 모바일 악성코드 통계 [이미지=NSHC]
바이러스(VIRUS)는 사용자의 스마트폰에서 악성행위를 하는 어플리케이션이며, PUA(Potentially Unwanted Application)는 사용자가 원하지 않는 프로그램으로 사용자에게 불편함을 제공한다. 애드웨어(ADWARE)는 광고가 포함된 어플리케이션으로, 사용자 동의 없이 스마트폰 자원을 사용하거나 활동기록을 전송한다.
이어 최근 4개월간 수집된 악성코드를 살펴보면 PUA.Shedun이 85,058개로 가장 많이 수집됐으며, 이어 PUA.SmPay가 63,735개로 뒤를 이었다. 지속적으로 수집량이 증가하던 Trojan.Downloader는 4위에서 3위로 순위가 뛰어올랐다.
가장 많이 수집된 PUA.Shedun는 정상 어플리케이션에서 애드웨어를 포함하여 리패키징한 후 배포되며, 지속적으로 광고를 노출시켜 광고사에 수익을 발생시킬 수 있다. 특히, 루트 권한을 요청하는 경우도 있어 주의가 요구된다.
2위를 차지한 PUA.SmsPay는 사용자의 연락처를 외부로 전송할 수 있으며, 특정 번호로 문자를 전송해 과금을 유발할 수 있다.
3위로 올라선 Trojan.Downloader는 사용자의 동의 없이 애플리케이션을 다운로드받는 종류의 바이러스로, 주로 악성 애플리케이션을 다운받아 설치를 유도하는 역할을 한다.
[김경애 기자(boan3@boannews.com)]
===================================================
교육부 사이버안전센터 입니다.
다음과 같은 사항을 권고드립니다.
■ 개요
`올크라이(allcry)` 랜섬웨어 관련 분석 결과 공유 및 긴급 조치 권고
■ 내용
□ 공격 정보
- 감염 시 PC내 문서, 실행파일(hwp.exe 등)을 암호화하고 확장자를 `allcry`로 변경
- 암호 해독을 목적으로 0.2 비트코인을 지불 요구
- 유포지는 file.qbridge.co.kr/launcher/QBridge.exe, 경유지는 ad.podosee.com임
* 유포지와 경유지 모두 KISA에서 차단 조치 완료
□ 탐지 방법
- 경유지 접속 url 확인(adpodosee.com/css/count.php?infp=brgin&code=PC마다 다른 값)
■ 대책
- 백신 및 운영체제 최신 업데이트 유지
- 불필요한 사이트 접근(애드웨어) 의심 파일 또는 메일 열람 금지
- 중요 문서는 네트워크가 분리된 저장장치에 상시 백업
上記 내용으로 피해가 발생하거나, 수신이 확인되면 즉시 교육부 사이버안전센터로 신고 바랍니다.
(053-714-0777, cert1@ecsc.go.kr)
- 첨부파일
- 첨부파일이(가) 없습니다.