최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도인가? 실수인가?

게시일: 2016-06-01 l 작성자: Jasen Sumalapao (Threat Response Engineer)

하나의 물건이 유행하기 시작하면 시장에는 그와 유사한, 하지만 저하된 품질의 유사품이 유통됩니다. 랜섬웨어는 현재 이와 같은 단계에 와 있습니다.

최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원합니다. 개발자가 의도적으로 구 버전 윈도우를 타겟으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없습니다.

배타적인 크립토 랜섬웨어

ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었습니다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용합니다. 해당 랜섬웨어는 다음의 파일 형식들을 암호화 할 수 있습니다.

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

피해자가 1주일 내 돈을 지불하지 않으면 모든 파일을 삭제하겠다는 협박도 빼놓지 않았습니다. 몸값은 1.2BTC(미화 약 500달러)로 책정되었으며, 4일 동안 돈을 지불하지 않을 경우 5BTC(미화 약 2,200달러)로 값이 오르게 됩니다. 몸값요구화면은 다음과 같이 표시됩니다.

그림1. 몸값 요구화면

하지만, 트렌드마이크로의 분석에 따르면 ZCRYPT 랜섬웨어는 특이하게 윈도우 XP와 같은 구 버전 윈도우에서 실행될 시 정상적으로 파일을 암호화하거나 몸값요구화면을 표출하지 못하는 것으로 밝혀졌습니다. 해당 악성코드는 구 버전 윈도우에 존재하지 않는 기능을 호출하기 때문에 구 버전에서 실행될 시 오류가 발생한다는 것입니다.

또 다른 흥미로운 점은 ZCRYPT는 USB 플래시 드라이브에 복사본을 만들어 이를 통해 확산을 시도한다는 것입니다. 크립토 랜섬웨어의 경우 대부분 악성 광고 또는 스팸 메일을 통해 확산되기 때문에 이동식 드라이브로 확산을 시도하는 행위는 크립토 랜섬웨어로에서는 흔치 않은 것입니다.

C&C 서버

C&C 서버의 도메인 명은 poiuytrewq.ml 이었습니다. 이것은 QWERTY 키보드의 제일 상단 qwertyuiopdml를 거꾸로 적은 것입니다. 도메인의 .ml은 2013년 4월부터 무료로 제공되었습니다. 도메인 등록이 등록자의 신원을 노출하지 않기 때문에 익명으로 공격을 진행할 수 있었으며, 현재 해당 도메인은 ‘취소됨’, ‘중지됨’, ‘거부됨’, ‘예약됨’으로 태그되어 있습니다.

대응하기

백업은 크립토 랜섬웨어를 예방하는 가장 좋은 방법입니다. 3-2-1 규칙을 시행하여 백업을 생활하면 유사한 공격을 당한 상황에서도 안심할 수 있습니다.
또한 공격을 받아도 몸값을 지불하지 않을 것을 강력하게 권장합니다. 공격자들이 돈을 계속 벌어들인다면 이는 결국 계속되는 공격으로 이어지기 때문입니다.

트렌드마이크로의 대응

트렌드마이크로는 ZCRYPT와 같은 크립토 랜섬웨어로부터 대기업, 중소기업 및 개인을 보호하기 위한 다양한 솔루션을 보유하고 있습니다.

대기업은 다층방어를 통해 단계별 위협 보안을 구성할 수 있습니다. Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. Office Scan은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

티핑포인트는 5월 31일부터 해당 취약점 공격에 대한 보호를 제공하고 있습니다.

• 24733: HTTP: Ransom_ZCRYPT.A

관련해쉬:

D14954A7B9E0C778909FE8DCAD99AD4120365B2E – Ransom_ZCRYPT.A

원문: Crypto-ransomware Attacks Windows 7 and Later, Scraps Backward Compatibility