새롭게 등장한 악질적인 크립토 랜섬웨어, JIGSAW

게시일: 2016-04-20 l 작성자: Trend Micro

크립토 랜섬웨어는 등장 이후 지속적으로 진화해 왔지만, 최근 발견한 JIGSAW 랜섬웨어는 그 중 가장 악질적이라 할 수 있는 행동을 보이고 있습니다. 공포영화 쏘우(Saw)를 연상시키는 해당 랜섬웨어는 파일을 암호화 한 뒤 단계적으로 삭제해나가며 피해자가 몸값을 지불할 수 밖에 없도록 공포감과 압박을 심어주고 있습니다. 해당 랜섬웨어는 쏘우의 ‘빌리 더 퍼펫’ 이미지를 그대로 사용하며, 빨간 카운트 시계를 표시합니다.

크립토 랜섬웨어는 인해 IT 시대를 살고 있는 우리에게는 일반적인 위협이 되었습니다. 쉽고 빠르게 이득을 창출할 수 있다는 이유로 사이버 범죄자들의 가장 많이 이용하는 공격 수법이기 때문입니다. 많은 범죄자들이 이 대열에 합류한 것은 놀랍지 않습니다. 최근 랜섬웨어 시장의 주된 관심사는 기존 악성코드에 “창조적인” 또는 “독특한” 기능을 추가하여 피해자가 공포감에 돈을 지불하도록 하는 방법에 대한 것입니다. 하지만, 기술적인 과정을 살펴보면 각각 랜섬웨어 악성코드는 큰 차이를 보이지 않습니다. 이번에 발견된 JIGSAW의 경우 최근 몇 달 사이 등장한 PETYACERBER와 같은 그룹에 속하게 됩니다.

감염과 확산

트렌드마이크로의 분석에 따르면, JIGSAW는 1fichier[.]com 이라는 무료 클라우드 저장 서비스로부터 다운로드 됩니다. 해당 클라우드 저장 서비스는 정보를 탈취하는 FAREIT, 비트코인을 수집하는 COINSTEALER와 같은 악성코드를 호스트 한 이력이 있습니다. 당사는 1fichier에 이번 발견에 대해 안내하였으며, 악성 URL은 삭제되었습니다. 또한 hxxp://waldorftrust[.]com에서 다운로드 되는 JIGSAW의 경우, 크립토마이너(Cryptominer) 프로그램과 함께 다운로드 됩니다. 될 수 있습니다.

두뇌싸움

크립토 랜섬웨어가 실행되면, 빌리 이미지와 몸값 요구 화면이 생성됩니다.

그림 1. JIGSAW 감염 PC 표출 화면
그림 1. JIGSAW 감염 PC 표출 화면

영어와 포르투갈어로 제공되는 메시지는 기하급수적 증가 컨셉을 이용하여, 피해자의 파일과 금액을 협상하는 데 적용합니다. 시간이 지날수록 몸값을 올리는 크립토 랜섬웨어는 최근에도 발견되었지만, JIGSAW의 몸값은 극적으로 상승하게 됩니다.

JIGSAW는 매 시간 많은 양의 파일을 지워버리는 동시에, 지불 금액을 크게 증가시킵니다. 시간이 지날수록 영구 삭제되는 파일의 개수가 증가하기 때문에 피해자는 돈을 지불하여 최소한의 금액으로 남은 파일을 보전하여야 하는 압박에 시달리게 됩니다. 피해자가 지불하는 최소 금액은 $20~$150달러로 확인되고 있습니다.

그림 2. 타이머를 표시하여 피해자가 돈을 지불하도록 압박
그림 2. 타이머를 표시하여 피해자가 돈을 지불하도록 압박

JIGSAW는 피해자의 모든 파일을 복사하여 .복사된 파일을 암호화 한 뒤(.fun 확장자), 원본을 삭제하는 크립토 랜섬웨어 입니다. .KKK, .BTC, .GWS와 같은 확장자로 암호화하는 변종도 발견되었습니다. 해당 랜섬웨어는 아래의 파일 형식들을 암호화 합니다.

그림 3. JIGSAW가 암호화 하는 파일 확장자 종류
그림 3. JIGSAW가 암호화 하는 파일 확장자 종류

그림 4. JIGSAW가 .BTC 로 파일 확장자 변경
그림 4. JIGSAW가 .BTC 로 파일 확장자 변경

그림 5. 빨간색으로 표시된 원본파일과 초록색으로 표시된 복사 후 암호된 파일
그림 5. 빨간색으로 표시된 원본파일과 초록색으로 표시된 복사 후 암호된 파일

만약 강제로 컴퓨터를 리부팅하게 되면, 1,000개의 파일이 복사본 없이 삭제된다는 경고 문구도 포함되어 있습니다. 컴퓨터를 리부팅 할 경우, 피해자는 72시간의 제한 시간 안에 돈을 지불하지 않으면, 암호화 된 모든 파일이 삭제될 것이라는 위협 문구가 생성됩니다.

그림 6. 리부팅 메시지
그림 6. 리부팅 메시지

JIGSAW는 굉장히 두려워 보이는 랜섬웨어지만, 그 구조는 매우 간단합니다. 다른 크립토 랜섬웨어와 비교하여 새로운 기능이나 루틴이 추가되어 있지는 않습니다. 하지만 정교함이 부족한 만큼, 사용자 인터페이스와 전술로 피해자를 심리적으로 압박하는 수준이 높기 때문에, 돈을 지불할 수 밖에 없도록 만드는 악질적인 랜섬웨어라고 할 수 있습니다.

수치심 압박

당사는 분석을 통해 JIGSAW 랜섬웨어의 또 다른 감염 경로로 파악되는 포르노 사이트들을 발견하였습니다. 이 경우, 빌리의 이미지가 표출되는 것이 아닌, 성인 이미지가 표출되며, 다음과 같은 메시지가 생성됩니다. “당신은 포르노 중독자입니다. 포르노를 그만 봐야 합니다. 이제 돈을 지불하세요.” 감염 이후로의 악성코드 행위는 일반 JIGSAW 랜섬웨어와 동일합니다. 분홍색 꽃의 이미지를 보여주는 변형도 확인되었습니다.

그림 7. JIGSAW의 다양한 이미지 표출
그림 7. JIGSAW의 다양한 이미지 표출

크립토 랜섬웨어 큰 그림

두려움을 자극하는 크립토 랜섬웨어는 JIGSAW만이 아닙니다. 최근 발견된 크립토 랜섬웨어인 MAKTUBLOCKER는 이메일 악성 첨부파일을 통해 감염됩니다. 사용자의 이름과 메일주소를 그대로 표시하기 때문에, 악성 메일이라는 것을 구분하기가 쉽지 않습니다. 크립토 랜섬웨어의 변형들은, 더 포악한 방법으로 더 많은 사용자들을 공격하고 있으며, 돈을 지불하게 만들기 위한 새로운 방법들을 고안해내고 있습니다.

솔루션

크립토 랜섬웨어는 갈수록 피하기 어려워지고 있습니다. 따라서 사용자들은 데이터를 정기적으로 백업하고, 3-2-1 규칙을 사용하여 데이터의 안전을 기해야 합니다. 이로써 랜섬웨어가 감염될 경우 피해를 최소화 할 수 있습니다. 돈을 지불하는 것이 감염으로 암호화된 파일의 복호화를 보장하지 않는다는 것도 기억하십시오.

트렌드마이크로 오피스스캔(OfficeScan) 11.0, 트렌드마이크로 비즈니스 시큐리티 서비스는 FRS 기술이 적용된 엔드포인드 보안 제품입니다. 동시에, 이러한 엔드포인트 제품에서 동작 모니터링 기술(무단 변경 모니터링)을 강화하여 기존 발견되지 않은 랜섬웨어의 경우에도 동작 기반으로 탐지하고 차단할 수 있습니다. 악성 코드가 포함된 URL로의 연결도 방지할 수 있습니다.

개인용 클라이언트 종합 보안 제품 트렌드마이크로 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

추가 연구 및 분석 (Mark Manahan, Jamz Yaneza)

관련 파일 SHA1:

  • 0C269C5A641FD479269C2F353841A5BF9910888B – Ransom_JIGSAW.A
  • DC307A673AA5EECB5C1400F1D342E03697564F98 – Ransom_JIGSAW.A
  • CE42E2C694CA4737AE68D3C9E333554C55AFEE27 – Ransom_JIGSAW.A
  • 1AD9F8695C10ADB69BDEBD6BDC39B119707D500E – Ransom_JIGSAW.B
  • CA40233610D40258539DA0212A06AF29B07C13F6 – Ransom_JIGSAW.C
  • F8431CF0A73E4EDE5B4B38185D73D8472CFE2AE7 – Ransom_JIGSAW.C
  • DCE911B1C05DA965C8733935723B88BC29D12756 – Ransom_JIGSAW.D
  • 3F6E3E5126C837F46A18EE988DBF5756C2B856AA – Ransom_JIGSAW.E
  • 92620194A581A91874A5284A775014E0D71A9DB1 – Ransom_JIGSAW.E

원문: New Crypto-Ransomware JIGSAW Plays Nasty Games