말하는 랜섬웨어 ‘Cerber’의 진화! 10월부터 ‘랜덤’하게 변신

입력 : 2016-10-03 02:05

올해 3월 첫 등장, 말하는 랜섬웨어로 유명세
10월 들어 4자리 랜덤한 확장명 패턴으로 파일 암호화 방식 변경

[보안뉴스 권 준 기자] 지난 3월 처음 등장한 이후, 말하는 랜섬웨어로 유명세를 탄 ‘Cerber(케르베르)’가 진화를 거듭하면서 최근에는 확장명을 랜덤하게 변화시키는 변종이 출현한 것으로 드러났다.


보안전문 블로거 ‘울지 않는 벌새’(이하 벌새)에 따르면 Cerber 랜섬웨어가 10월 초부터 ‘(Random 파일명).(4자리 Random 확장명)’ 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌다.

원래 Cerber는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 지닌 랜섬웨어로, 장기간 활발하게 유포가 이루어져 많은 피해자를 양산시켜 왔다.

이에 마이크로소프트(Microsoft)에서는 지난 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작한 바 있다.

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점을 통해 자동 감염이 이루어지는 방식으로 전파됐다. 그러던 중 10월에 접어든 이후부터 4자리 랜덤한 확장명 패턴으로 파일 암호화를 하는 방식이 변경된 것이다.

해당 방식으로 최초 감염이 이루어진 Cerber 랜섬웨어는 러시아에 위치한 IP 대역을 타깃으로 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함한 디도스(DDoS) 공격을 시도하는 행위를 확인할 수 있었다는 게 벌새의 설명이다.

이후 ‘C:\Windows\System32\wbem\WMIC.exe’ shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후, 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행하는 것으로 나타났다.

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im ‘(Cerber 악성 파일명).exe’ 명령어를 통해 자신을 종료 처리하는 것으로 분석됐다.

Cerber 랜섬웨어를 통한 파일 암호화 완료 시점에서는 바탕화면 배경을 ‘C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp’ 그림 파일로 변경하게 된다. 또한, 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용해 “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!” 목소리를 출력하여 암호화 사실을 안내하게 된다.


이후 ‘C:\Windows\System32\mshta.exe’ 시스템 파일을 통해 ‘C:\Users\%UserName%\AppData\Local\Temp\README.hta’ 파일을 로딩하여 한글로 표기된 랜섬웨어 결제 안내창을 표시하는 것으로 알려졌다. 특히, 한글화가 기계적인 번역이 아닌 한국어를 일정 수준 이상으로 사용하는 사람이 번역한 것으로 추정된다고 벌새는 밝혔다.

이와 관련 벌새는 “실제로 연결된 Cerber Decryptor 페이지에서는 초창기와 동일하게 한국어를 지원하지는 않으며, 여전히 한글문서(.hwp)가 암호화 대상이 아니라는 점에서 한국을 집중 표적으로는 하지 않는 것 같다”고 말했다.

이어 그는 “최근의 Cerber 랜섬웨어는 백신 및 랜섬웨어 차단 솔루션의 진단을 우회할 목적으로 암호화 방식을 더욱 빠른 주기로 변경하는 것으로 보인다”며, “현재 AppCheck 안티 랜섬웨어 제품은 추가적인 업데이트 없이 모든 종류의 Cerber 랜섬웨어에 대하여 파일 암호화 행위 차단과 함께 일부 훼손된 파일을 자동으로 복원할 수 있다는 사실을 확인했다. 이에 백신 프로그램과 AppCheck 안티 랜섬웨어를 함께 사용할 것”을 권했다.

한편, Cerber 랜섬웨어의 비트코인(Bitcoin) 실제 가격은 초창기 1.24(507달러)에서 현재는 1.000(608달러)으로 상승한 상태이며, 5일이 경과할 경우 2배 가격으로 상승한다고 안내하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 3

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...