크리스마스 이브에 출몰한 신종 랜섬웨어 ‘데리아락’

크리스마스에도 계속되는 랜섬웨어 공격
파일 대신 스크린을 잠그는 방식

[보안뉴스 홍나경 기자] 크리스마스 이브에 신종 랜섬웨어가 나타났다. 이름은 데리아락(DeriaLock)으로, 보안전문 기업 G데이터(G Data)의 멀웨어 분석가인 칼스텐 한(Karsten Hahn)이 발견했다.

랜섬웨어는 1)컴퓨터 파일을 잠그는 공격 2)파일은 놔두고 컴퓨터를 잠가버리는 공격으로 나뉘는데 데리아락은 후자에 해당한다. 정확한 감염경로에 대해서는 아직 밝혀진 바가 없다. 데리아락에 감염되면 피해자는 PC스크린을 언락하는 데 30달러(한화 3만300원) 정도를 요구받는다. 스카이프(Skype)로 해커에게 연락을 한 뒤 돈을 송금하면 된다.

칼스텐은 멀웨어 공유 플랫폼인 바이러스 토탈(VirusTotal)에서 데리아락의 바이너리를 받아 분석한 결과를 공개했다. “데리아락은 PC의 기기 고유 ID(Machine ID)를 사용해 MD5 해시를 생성합니다. 랜섬웨어를 개발하는 사람들이 실수로 자기 컴퓨터를 감염시킬 때가 있는데, 데이아락 개발자도 이 점을 염두에 두고 개발한 듯 합니다. 데리아락 소스코드에 하드코딩 된 MD5가 있거든요. 이 MD5가 로컬 기기와 매칭이 되면 감염이 진행되지 않습니다.”

MD5 인증 작업 후, 데리아락은 C&C 서버에 접속하고 가장 최신 버전의 데리아락을 다시 다운로드 받는다. 저장 경로는 ‘C:/users/appdata/roaming/microsoft/windows/start menu/programs/startup/SystemLock.exe’다. 저장된 데리아락이 실행되면 윈도우 스크린에 사용자 PC가 감염됐다는 메시지가 나타난다. 메시지의 원본은 영문이며 독일어와 스페인어로도 번역해 메시지를 확인할 수 있게 옵션 키가 화면에 나타난다. 하지만 ‘스페인어’ 키는 눌러도 번역 내용이 나타나지 않는다. 영어와 독어 모두 오타 투성이다.

사용자가 데리아락의 화면 잠금을 임의로 해제시키는 걸 막기 위해 taskmgf, procexp, procexp64, skype, chrome, steam, MicrosoftEdge, regedit, msconfig, utilman, cmd, explorer, certmgr, control, cscript 등의 프로세스들이 강제 종료된다. 또한, ALT+F4키를 통한 윈도우 창 종료 시도도 이를 이미 예상한 해커가 차단해 놨다.

위에서 언급했듯이 해커에게 돈을 지불하고 상황을 정리하고 싶다면 스카이프를 통해 30달러를 보내주면 된다. 그러나 이때 HWID 18자리도 반드시 해커에게 전달해야 한다. 해커가 HWID를 그의 서버에 입력해야 언락 코드가 생성되기 때문이다. 그리고 감염된 컴퓨터의 코드를 자신의 C&C 서버에서 발견하면 피해자가 돈을 지불했는지를 보고 화면 잠금을 해제시켜 준다.

칼스텐은 “아직까지도 C&C 서버가 운영 중에 있다”며, “감염은 현재진행형”이라고 경고한다. “데리아락이 서버로 전송하는 요청 중 특정 파일이 있는지 확인하는 요청이 있습니다. 무슨 파일이냐면 unlock-everybody.txt라는 파일입니다. 그 파일 자체를 찾아내진 못했지만, 모든 잠금을 해제시키라는 파일 이름을 봤을 때, 데리아락을 해결하는 중요한 열쇠가 아닐까 합니다. 물론 범인이 이 파일을 활용할 확률은 대단히 낮아보이긴 합니다만.”

그나마 위안거리는 데리아락이 작동하려면 .NET 프레임워크 4.5가 설치되어 있어야 한다는 것이다. 이는 윈도우 XP 기반의 시스템에서는 작동하지 않는다는 뜻이며, 그렇기에 주요 공공시설이나 소매업자들의 POS 시스템 등에서는 잘 통하지 않을 확률이 존재한다.
[국제부 홍나경 기자(hnk726@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)