일본에서 확인된 랜섬웨어 메일 ‘새로운 청구서 ##### 가 도착했습니다’

게시일: 2016-04-15 l 작성자: セキュリティエバンジェリスト 岡本 勝之

지난해 말부터 이메일 악성 프로그램 확산의 공격이 많아지고 있습니다. 트렌드마이크로는 최근 일본에서 새로운 악성스팸 메일을 확인했습니다. 2016 년 4 월 6 일부터 "새로운 청구서 #########가 도착했습니다"( "#"은 숫자)라는 일본어 제목의 랜섬웨어를 확산시키는 악성코드 스팸이 확인되고 있으며, 트렌드마이크로는 4 월 6 일 단, 1 일만에 같은 종류의 악성 스팸을 1 만 6000 통 이상을 발견했습니다.


그림 1. 확인된 악성 스팸 예 1


그림 2. 확인된 악성 스팸 예 2

악성 스팸의 제목, 본문, 첨부 파일은 모두 일본어이며, 발신자 정보도 여러 실제 일본 기업의 주소가 위조 된 것입니다. 지금까지 랜섬웨어를 확산하는 메일은 영어로 "invoice"(송장) 등의 제목이나 본문을 위장하는 것이 중심이었으므로 불특정 다수를 노리는 세계적인 악성스팸이 일본에 유입되는 것으로 보여졌으나 이번 공격은 일본어를 사용하고 있기 때문에 특히 일본의 인터넷 이용자를 대상으로 하는 것을 알 수 있습니다. 이러한 해당 로컬 언어로 제작된 악성 스팸 공격은 사이버 범죄자들이 명확한 공격 대상으로 해당 국가를 인식하고 있음을 보여주며, 해당 국가 인터넷 이용자는 향후 더욱 주의가 필요합니다.

이 악성 스팸에 첨부된 ZIP 압축 파일 2가지중 한가지는 스크립트 파일 (확장자 .js) 이며 나머지는 .scr 확장자의 실행형 프로그램 파일입니다. 파일들을 실행하면 악성코드를 다운로드하고 랜섬웨어 'Ransom_CRYPSHED "에 감염됩니다.


그림 3. 확인된 악성스팸에 첨부된 2개의 파일중 .JS 파일


그림 4 : 확인된 악성 스팸에 첨부된 2개의 파일중 .SCR 파일
.PDF로 보이지만 실제 확장자는 .SCR

이 악성프로그램 ZIP 파일 이름은 "JAPANPOST"로 "JP"라는 문자열이 들어있어 지난해 12 월과 올해 2 월에 대량 확산되었던 일본 우체국을 사칭한 악성스팸과 관련된 것으로 보입니다. 특히 .SCR 파일은 "100 통"라는 이름의 문자열을 포함하고 있어 이전의 사례와 거의 같은 수법이라고 할 수 있습니다. 다른 점은 이전의 사례에서는 인터넷 뱅킹을 노리는 'ROVNIX "이었지만, 이번은 랜섬웨어'Ransom_CRYPSHED '라는 것입니다. 이것은 스팸업자에게 악성스팸 전송을 의뢰한 사이버 범죄자가 다른 사람이거나 또는 사이버 범죄자가 더 빠르게 돈을 벌기 위한 수단으로 인터넷 뱅킹을 노리는 대신 랜섬웨어를 선택하였을 수 있습니다.


그림 5 : "Ransom_CRYPSHED" 랜섬 요구 화면
메일내용은 일본어이지만, 랜섬웨어 자체는 영어로 표시


그림 6 : "Ransom_CRYPSHED"에 암호화된 파일
확장자가 모두 ".better_call_saul"

피해를 당하지 않기 위해서는

랜섬웨어에 의한 데이터 암호화 피해를 최소화하고 조기 복구를 위해 정기적인 데이터 백업이 중요합니다. 백업시에는 3-2-1 규칙을 사용하여 3 개 이상의 백업 복사본을 가능하면 두 가지 형식으로 저장하고 그 중 하나를 네트워크에서 격리된 장소에 보관하십시오.

랜섬웨어 등의 악성 프로그램은 일반적으로 이메일 또는 Web을 통해 PC에 침입합니다. 원래의 침입을 막기 위해 이 두 경로에서 침입을 탐지하는 바이러스 제품의 적용이 중요합니다.

이번 악성스팸 사례에서 본 것과 같이 첨부 파일이 안전한 것처럼 보이도록 수신자를 착각하게 하여 해당 파일을 클릭하게 하는 수법이 만연합니다. 이 같은 수법을 인지하고 아이콘이나 파일 이름 등이 의심스러운 첨부파일은 클릭하지 않아야 악성 프로그램 감염을 방지할 수 있습니다. 메일 수신자를 속이는 수법은 항상 변화하고 있기 때문에 최신 공격방법에 대한 정보에 귀를 기울이고 의심스러운 첨부 파일을 열지 않도록 주의하십시오.

이러한 악성 스팸 공격은 1회 공격에서 길어도 며칠간의 간격을 두고 다른 내용의 이메일 전송을 반복합니다. 항상 바뀌는 제목이나 본문 내용에 기반한 메일 필터링은 효과가 낮을 수 있기 때문에 첨부 파일이 실행파일 또는 스크립트 파일과 같이 공격에 이용되기 쉬운 파일 형식의 조건이 아닌지를 필터링하는 방법이 효과적입니다.

트렌드마이크로의 대책

이번 공격으로 확인된 악성 프로그램에 대하여 트렌드마이크로는 랜섬웨어 "CRYPSHED" "CRYPTOLDESH" 로 탐지합니다. 트렌드마이크로 엔드포인트 제품인 맥시멈 시큐리티오피스스캔 11.0 제품에서는 파일 평판 기술인 ‘FRS’ 기술로 바이러스를 탐지 차단함과 동시에 동작 모니터링 기술 (무단 변경 모니터링 기능)로 알려지지 않은 랜섬웨어의 악성활동도 탐지하고 차단합니다.

또한 Deep Discovery ™ Email Inspector 제품의 샌드 박스 기술은 위험한 이메일의 수신을 차단하며 네트워크에 침입 한 랜섬웨어의 통신을 탐지하고 감염된 단말의 존재를 조기에 경고합니다.


원문: 「あなたは新しい請求書 ~ を持っています」日本語メールでのランサムウェア拡散を確認