Home > 전체기사
가짜 ‘윈도우 업데이트’로 위장한 랜섬웨어 출현
  |  입력 : 2016-09-23 14:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용 중인 OS 및 프로그램 최신 버전 업데이트해야
정품 OS 및 소프트웨어나 제조사가 제공하는 업데이트 바람직


[보안뉴스 김태형] 최근 해외에서 윈도우 업데이트로 위장한 랜섬웨어가 등장했다. 언제든 이러한 유형의 랜섬웨어가 국내 사용자를 타깃으로 제작 및 유포될 수 있어 미리 살펴보고 대비할 필요가 있다.

안랩에 따르면, 랜섬웨어 피해 예방의 첫 번째 보안수칙으로 윈도우 등 OS와 주요 프로그램의 보안 업데이트 적용이 강조되고 있는 만큼 윈도우 업데이트 파일로 위장한 랜섬웨어로 인한 잠재적인 피해가 우려된다.

▲ 그림 1. 가짜 윈도우 업데이트 화면


우선 영어권 사용자를 노리는 것으로 추정되는 가짜 윈도우 업데이트 랜섬웨어가 발견됐다. 윈도우 업데이트로 위장한 파일을 실행하면 ‘WindowsUpdate.exe’라는 이름의 파일이 시스템에 생성 및 실행되며, 그림 1과 같이 ‘중요 윈도우 업데이트’라는 메시지와 함께 가짜 업데이트 화면이 나타난다.

가짜 윈도우 업데이트가 진행되는 동안 랜섬웨어는 사용자 몰래 시스템 내 파일을 암호화한다. 최근 랜섬웨어들과 마찬가지로 PC의 거의 모든 포맷의 파일을 암호화하며, 파일 확장자명에는 ‘.fantom’라는 문자를 추가한다는 게 안랩 측의 설명이다.

▲ 그림 2. 랜섬웨어 감염 후 변경된 바탕화면


이후 바탕화면을 그림 2와 같이 변경하고 ‘DECRYPT_YOUR_FILES.HTML’ 파일을 생성해 사용자에게 암호화된 파일 복구와 관련된 내용을 안내한다.

▲ 그림 3. 볼륨 섀도우 카피(Volume Shadow Copy) 삭제


또한, 추가로 생성된 ‘%APPDATA%\delback.bat’ 파일은 VSC(Volume Shadow Copy) 파일을 삭제해 시스템 복원을 방해한다. 최근에는 러시아어 사용자를 노린 것으로 추정되는 가짜 윈도우 업데이트 랜섬웨어도 발견됐다. 이른바 ‘RAA 랜섬웨어’로 불리는 이 랜섬웨어는 DOC 문서 파일 형태로 유포됐다.

▲ 그림 4. RAA 스크립트(Java Script)가 포함된 랜섬웨어 DOC 문서


악성 DOC 파일을 실행하면 그림 4와 같이 러시아어로 ‘MS 오피스워드의 최신 버전에서 만들어진 것으로, 문서를 보기 위해서는 공식 업데이트 패키지를 설치하라’는 내용이 나타난다. 내용 하단에는 MS의 로고가 포함된 패키지 설치 버튼이 나타나 사용자의 실행을 유도한다.

해당 해키지를 실행하면 공격자가 삽입한 스크립트(Java Script, JS)가 실행된다. 해당 스크립트에는 표 1과 같은 코드가 포함되어 있다.

▲ 표 1. 랜섬웨어 스크립트에 포함된 코드 정보


또한, 자바스크립트의 indexOf로 확장자를 이용해 암호화를 할 파일들을 검색한다. 암호화 대상 파일을 검색하는 문자열은 .doc, .xls, .pdf, .dbf, .jpg, dwg, .cdr, .psd, .cd, .mdb, .png, .zip, .rar, .csv, docm, docx, xlsx 등의 파일도 암호화 대상이다. 한편, 스크립트를 통해 생성된 실행 파일(ii.exe)은 특정 네트워크로 연결을 시도하지만, 안랩의 분석 당시 해당 서버는 연결되지 않았다.

▲ 그림 5. RAA 랜섬웨어 감염 안내 메시지


이번에 발견된 두 건의 윈도우 업데이트로 위장한 랜섬웨어는 각각 영어 및 러시아어로 제작되어 있어 국내 사용자를 노린 것은 아닌 것으로 보인다. 그러나 언제든 관련 변종이 국내로 유입될 수 있기 때문에 주의를 기울이는 것이 바람직하다.

특히, 사용 중인 OS 및 프로그램의 최신 버전 업데이트는 반드시 정품 OS 및 소프트웨어에서 제공하는 업데이트 기능 및 제조사의 업데이트 사이트를 통해 진행해야 한다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)