□ 개요
최근 히든티어(Hidden Tear) 오픈소스 프로젝트를 기반으로 제작된 "매직(Magic)" 랜섬웨어가 유포되고 있다. 히든티어는 랜섬웨어 오픈소스 프로젝트로서, 2015년 8월에 교육을 목적으로 시작되었지만 공격자들은 이를 악용하여 랜섬웨어를 제작하고 있다.
□ 내용
히든티어 오픈소스 프로젝트는 누구나 접근이 가능하며, 이를 이용하여 변종 랜섬웨어를 손쉽게 제작할 수 있다. 매직 랜섬웨어는 이러한 히든티어 오픈소스를 기반으로 제작된 변종 랜섬웨어이다. 공격자는 공개된 히든티어의 소스코드보다 더 많은 확장자를 암호화 시키도록 제작하였다.
[그림 1] 히든티어와 매직 랜섬웨어의 암호화 대상 확장자 비교
매직 랜섬웨어는 AES-256bit 암호화 방식을 통해 감염자의 파일을 암호화 시키며, 암호화 된 파일의 확장자는 ".locked"로 변경된다. 파일 암호화가 끝난 후, 사용자의 배경화면을 바꾸고 감염사실을 알리기 위한 랜섬노트(READ_IT.txt)를 생성한다. 해당 랜섬노트에는 지급방법을 설명하는 유튜브 동영상의 주소가 포함되어있다.
공격자는 약 13만원(100유로)상당의 비트코인을 요구하며, 감염 2일이 지난 이후에는 파일의 복구가 불가능하다고 경고한다.
[그림 2] 암호화가 끝난 뒤, 변경되는 배경화면
[그림 3] 바탕화면에 생성되는 랜섬노트
히든티어 프로젝트의 랜섬웨어는 악성코드에 포함된 공격자의 주소로 암호화키 등의 감염정보를 보내는 기능이 존재한다. 공개된 소스코드는 감염정보를 "http://www.example.com"으로 전송하는데, 매직 랜섬웨어는 해당 부분을 수정하지 않고 그대로 사용하였다.
따라서, 공격자는 복호화 키를 가지고 있지 않기 때문에 비트코인을 지급해도 파일에 대한 복구가 불가능하다.
세계적으로 랜섬웨어에 대한 연구가 진행되면서, 교육을 목적으로 한 랜섬웨어 오픈소스 프로젝트가 생겨나고 있다. 이를 악용할 경우, 개발경험이 적은 공격자들도 손쉽게 변종 랜섬웨어 제작이 가능하기 때문에 주의해야 할 필요가 있다.
□바이로봇 업데이트 내역
대표진단명 Trojan.Win32.S.Magic.220160
※ 랜섬웨어 감염 예방방법 :http://www.hauri.co.kr/Ransomware/prevention.html