세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
‘평양·주체’ 계정 해커, 매트릭스 변종 또 유포
  |  입력 : 2017-12-08 17:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
평양·주체 계정 사용 해커, 야후·네이버·지메일 등 계속 갈아타면서 국내 공격
매트릭스 랜섬웨어 변종, 한글 문서 최우선으로 파일 암호화 시도하도록 제작


[보안뉴스 김경애 기자] 야후, 네이버, 지메일 등을 연달아 갈아타면서 ‘평양·주체’ 계정을 사용했던 해커가 국내를 타깃으로 한 매트릭스(Matrix) 랜섬웨어 유포 활동이 또 다시 탐지되고 있다.

▲파일 암호화 패턴과 결제 안내 파일[이미지=체크멀]


해커는 최근 files4[@]naver.com 계정을 사용한 바 있으며, 이후 새로운 네이버 메일 계정을 통해 매트릭스 랜섬웨어 변종이 현재까지 지속적으로 탐지되고 있다.

안티랜섬웨어 서비스를 제공하는 체크멀 측은 “지난 5일경부터 발견된 매트릭스 랜섬웨어 변종은 한글 문서(.hwp)를 최우선적으로 파일 암호화를 시도하도록 제작됐다”며 “더욱이 한국에 최적화된 매트릭스 랜섬웨어 변종으로 확인됐다”고 밝혔다.

기존의 매트릭스 랜섬웨어의 경우, 최초 암호화 대상 파일 확장명이 엑셀(Excel) 문서(.xls, xlsx)인데 반해 12월 5일경부터 유포된 매트릭스 랜섬웨어의 경우 한글 문서(.hwp)가 존재할 경우 가장 우선적으로 전체 디스크에 존재하는 .hwp 파일부터 암호화가 진행된다.

우선 파일 암호화 이전에 ‘updateplayernow.win(181.114.240.10)’ 서버와의 통신을 통해 감염된 컴퓨터 이름, 사용자 계정 이름, 실행 환경 등의 정보를 전송한다. 파일 암호화 진행과 종료 중에는 몇 차례 통신이 이뤄진다.

파일 암호화가 이루어진 상태에서는 <원본 파일명>_[Jingju87@naver.com][Loder903@gmail.com].<원본 확장명> 또는 <원본 파일명>_[Linersmik@naver.com][Jinnyg@tutanota.com].<원본 확장명> 형태로 파일명이 변경된다. 파일명 중에는 네이버 메일 계정(Jingju87, Linersmik)이 포함돼 있는 것을 확인할 수 있다.

파일 암호화가 이루어진 폴더 및 바탕 화면 영역에는 ‘All the important data on this computer was encrypted!’ 메시지 파일이 다수 생성되며, 내부에는 네이버 메일 외에 추가적인 2개의 메일 계정이 포함돼 있다.

또한, 파일 암호화 종료 시점에서 생성된 ‘C:\Users\%UserName%\AppData\Roaming\.vbs’ 스크립트 파일은 사용자가 파일 복구를 할 수 없도록 이벤트 뷰어(Event Viewer) 실행을 통한 ‘vssadmin.exe delete shadows /all /quiet’ 명령어가 실행되도록 난독화된 코드를 실행한다.

▲파일 복구를 하려면 해커 메일 계정으로 연락하라는 메시지 화면[이미지=체크멀]


최종적으로 바탕화면 배경은 파일 암호화 시작 단계에서 생성한 ‘C:\Users\%UserName%\AppData\Roaming\.jpg’ 그림 파일로 변경해 재부팅 이후부터 배경을 변경하도록 설정돼 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)