Home > 전체기사
USB 통해 퍼지는 새 랜섬웨어, 트라이투크라이, 아직 멀어
  |  입력 : 2020-07-07 16:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 기능들 살펴 보니 전에 나왔던 스포라와 비슷...증식 기능은 엔제이랫에서
최근 랜섬웨어 공격 희망하는 사이버 범죄자들 늘어...이것 저것 다 가져다 만드는 중


[보안뉴스 문가용 기자] 보안 업체 지데이터(G Data)의 연구원들이 USB를 통해 전파되는 새로운 랜섬웨어를 발견했다. 이 랜섬웨어이 이름은 트라이투크라이(Try2Cry)이며, 3년 전 등장했던 스포라(Spora) 랜섬웨어의 기능을 대부분 그대로 차용하고 있다고 한다. 닷넷(.NET)으로 만들어졌으며, 엔제이랫(njRAT)이 선보였던 증식 기능이 탑재되어 있기도 하다.

[이미지 = utoimage]


그밖에 트라이투크라이는 깃허브에 오픈소스로 공개되어 있는 스튜피드(Stupid) 랜섬웨어 패밀리와도 관련이 있는 것으로 보인다. 지데이터의 연구원들이 트라이투크라이를 추적하며 수십 개의 샘플을 확보하는 데 성공했는데, 웜 증식 요소가 없는 버전도 있었다. AES 알고리즘의 전신이라고 볼 수 있는 라인달(Rijndael)을 사용해 파일을 암호화시키는 게 보통이었다.

지데이터는 보고서를 통해 암호화 비밀번호가 하드코드 되어 있으며, 암호화 키는 SHA512 해시를 계산함으로써 생성된다고 설명했다. 이런 방식의 암호화 기법은 스포라, 디니후(Dinihou) 가마루(Gamarue)와 같은 랜섬웨어에서 발견된 적이 있다.

트라이투크라이의 증식 방법은 다음과 같다.
1) 멀웨어가 장비에 연결된 이동식 드라이브들을 검색한다.
2) 찾아낸 후에는 스스로를 해당 드라이브의 루트 폴더에 복사한다.
3) 이 때 복사되는 파일의 이름은 Update.exe이다.
4) 다음으로 드라이브에 있는 모든 파일들을 숨기고, 숨겨지지 않은 LNK 파일들로 대체한다.
5) 이 LNK 파일들은 원래 파일들과 Update.exe 파일과 연결되어 있다.

트라이투크라이는 자기 자신을 복사한 후, 그 사본들에 여러 가지 아라비아 이름을 붙여 사용자들이 실행하도록 유도한다. 지데이터 측이 해석을 했을 때 나온 이름들은 다음과 같다.
1) 대단히 중요
2) 중요
3) 비밀번호
4) 이방인
5) 다섯 개의 출처들

그러나 USB를 통한 랜섬웨어 증식은 탐지가 꽤나 쉬운 것으로 알려져 있다. 게다가 이번 공격의 경ㄹ우는 LNK 파일들이 대거 등장하고 아라비아어로 된 실행파일들이 여럿 있어서 얼른 봐도 뭔가가 이상하다는 걸 알 수 있다.

게다가 라인달의 알고리즘은 이미 크랙이 가능하기 때문에 트라이투크라이 랜섬웨어의 경우도 데이터 복구가 가능하다. 따라서 지데이터 측은 “최근 사이버 범죄자들이 너도 나도 랜섬웨어를 만들고 있다는 사실을 확인시켜 주는 랜섬웨어”라고 결론을 내린다.

“요즘 랜섬웨어 수익이 높다는 게 사이버 범죄자들 사이에서 잘 알려지면서, 누구나 코드를 가져다 붙여 랜섬웨어를 만들고 시험해보고 있습니다. 프로그래밍을 모르는 사람도 이런 짓을 하고 있죠. 트라이투크라이 랜섬웨어는 그 자체로 엄청난 위협은 아니지만, 그 배경에 사이버 공격자들의 끊임없는 랜섬웨어 사랑과 실험 정신을 드러내고 있어 무섭습니다.”

4줄 요약
1. 완전히 새롭게 발견된 랜섬웨어, 트라이투크라이.
2. 스포라라는 옛 랜섬웨어와 관련 있는 듯.
3. USB 통해 퍼지도록 되어 있음. 그러나 암호화 기능이나 증식 기능 모두 효과가 떨어짐.
4. 사이버 범죄자들이 최근 랜섬웨어 막 만들어 실험 가동하는데, 그 중 하나로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)