세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
말하는 랜섬웨어 ‘Cerber’의 진화! 10월부터 ‘랜덤’하게 변신
  |  입력 : 2016-10-03 02:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 3월 첫 등장, 말하는 랜섬웨어로 유명세
10월 들어 4자리 랜덤한 확장명 패턴으로 파일 암호화 방식 변경


[보안뉴스 권 준 기자] 지난 3월 처음 등장한 이후, 말하는 랜섬웨어로 유명세를 탄 ‘Cerber(케르베르)’가 진화를 거듭하면서 최근에는 확장명을 랜덤하게 변화시키는 변종이 출현한 것으로 드러났다.

▲ ‘Cerber’ 랜섬웨어에 감염된 PC의 바탕화면 모습(출처: 울지 않는 벌새 블로그)


보안전문 블로거 ‘울지 않는 벌새’(이하 벌새)에 따르면 Cerber 랜섬웨어가 10월 초부터 ‘(Random 파일명).(4자리 Random 확장명)’ 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌다.

원래 Cerber는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 지닌 랜섬웨어로, 장기간 활발하게 유포가 이루어져 많은 피해자를 양산시켜 왔다.

이에 마이크로소프트(Microsoft)에서는 지난 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작한 바 있다.

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점을 통해 자동 감염이 이루어지는 방식으로 전파됐다. 그러던 중 10월에 접어든 이후부터 4자리 랜덤한 확장명 패턴으로 파일 암호화를 하는 방식이 변경된 것이다.

해당 방식으로 최초 감염이 이루어진 Cerber 랜섬웨어는 러시아에 위치한 IP 대역을 타깃으로 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함한 디도스(DDoS) 공격을 시도하는 행위를 확인할 수 있었다는 게 벌새의 설명이다.

이후 ‘C:\Windows\System32\wbem\WMIC.exe’ shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후, 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행하는 것으로 나타났다.

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im ‘(Cerber 악성 파일명).exe’ 명령어를 통해 자신을 종료 처리하는 것으로 분석됐다.

Cerber 랜섬웨어를 통한 파일 암호화 완료 시점에서는 바탕화면 배경을 ‘C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp’ 그림 파일로 변경하게 된다. 또한, 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용해 “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!” 목소리를 출력하여 암호화 사실을 안내하게 된다.

▲ 한글로 표기된 랜섬웨어 결제 안내창(출처: 울지 않는 벌새 블로그)


이후 ‘C:\Windows\System32\mshta.exe’ 시스템 파일을 통해 ‘C:\Users\%UserName%\AppData\Local\Temp\README.hta’ 파일을 로딩하여 한글로 표기된 랜섬웨어 결제 안내창을 표시하는 것으로 알려졌다. 특히, 한글화가 기계적인 번역이 아닌 한국어를 일정 수준 이상으로 사용하는 사람이 번역한 것으로 추정된다고 벌새는 밝혔다.

이와 관련 벌새는 “실제로 연결된 Cerber Decryptor 페이지에서는 초창기와 동일하게 한국어를 지원하지는 않으며, 여전히 한글문서(.hwp)가 암호화 대상이 아니라는 점에서 한국을 집중 표적으로는 하지 않는 것 같다”고 말했다.

이어 그는 “최근의 Cerber 랜섬웨어는 백신 및 랜섬웨어 차단 솔루션의 진단을 우회할 목적으로 암호화 방식을 더욱 빠른 주기로 변경하는 것으로 보인다”며, “현재 AppCheck 안티 랜섬웨어 제품은 추가적인 업데이트 없이 모든 종류의 Cerber 랜섬웨어에 대하여 파일 암호화 행위 차단과 함께 일부 훼손된 파일을 자동으로 복원할 수 있다는 사실을 확인했다. 이에 백신 프로그램과 AppCheck 안티 랜섬웨어를 함께 사용할 것”을 권했다.

한편, Cerber 랜섬웨어의 비트코인(Bitcoin) 실제 가격은 초창기 1.24(507달러)에서 현재는 1.000(608달러)으로 상승한 상태이며, 5일이 경과할 경우 2배 가격으로 상승한다고 안내하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)