세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미완성인가 독특함인가? qkG 파일코더 랜섬웨어 발견
  |  입력 : 2017-11-23 16:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 랜섬웨어, 독특한 설정 선보이나 미완성에 가까워
개념 증명 위한 도구일 수 있어...기본 실천 사항 통해 방어 가능


[보안뉴스 문가용 기자] 새로운 랜섬웨어가 등장했다. 이름은 qkG 파일코더(qkG Filecoder)이며 현재 바이러스토탈(VirusTotal)에 업로드 되어 있는 상태다. 업로드 위치가 베트남으로 나오고 일부 코멘트들도 베트남어로 작성되어 있다.

[이미지 = iclickart]


보안 업체 트렌드 마이크로(Trend Micro)의 분석가들에 의하면 이 랜섬웨어는 “고전적인 매크로 멀웨어”로 “MS 워드의 normal.dot 템플릿을 감염시킨다”고 한다. nomral.dot 템플릿은 ‘새 문서 열기’ 혹은 ‘빈 문서 열기’에 사용되는 템플릿이다.

qkG 파일코더가 제일 먼저 발견된 건 11월 12일의 일이다. 이 초기 버전에는 아무런 비트코인 주소가 명시되어 있지 않다. 14일에 새롭게 발견된 샘플부터 비트코인 주소가 있었다. 가장 최근에 발견된 버전의 경우, 특정 날짜와 시간대에 작성된 문서를 암호화시키는 기능을 가지고 있었다. 하지만 트렌드 마이크로에 의하면 “아직 아무런 거래가 일어나지 않았다”고 한다.

qkG 파일코더는 기존 랜섬웨어와는 조금 다르다. 다음과 같은 특징 때문이다.
1) qkG 파일코더는 딱 한 개의 파일 혹은 한 가지 파일 종류만 암호화시킨다.
2) 처음부터 끝까지 VBA 매크로로 작성된 얼마 되지 않는 암호화 멀웨어다.
3) 암호화 할 때 문서의 내용은 변경시키지만 파일 구조는 그대로 놔둔다. 파일 이름 역시 변경되지 않는다.
4) 이미 열려 있는 문서들만 암호화된다.

트렌드 마이크로의 분석가들은 “아직 실험 단계에 있는 랜섬웨어인 것으로 보인다”고 결론을 내렸다. 그 외에는 “개념 증명에 사용되는 소프트웨어”일 가능성이 존재한다.

트렌드 마이크로는 “이러한 종류의 랜섬웨어는 방어하기가 굉장히 쉽다”고 강조한다. “일상적이지만 중요한 사이버 보안 실천 사항만 지키면 됩니다. 시스템을 업데이트 하고, 백업을 주기적으로 하며, 자동 매크로 완성 기능을 꺼두면 지금 발견된 qkG 파일코더는 막아낼 수 있습니다. 물론 해커들이 이를 먼저 발견해 추가 개발을 진행하면 얘기가 달라질 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#보안   #랜섬   #웨어   #미완   #실험   #VBA   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)