ViRobot

하우리샵 바로가기

보안이슈 분석

테러 익스플로잇킷으로 유포되는 공주 랜섬웨어 주의
등록일 : 2017.09.07

□ 개요

최근테러(Terror) 익스플로잇킷을 이용한 드라이브 바이 다운로드 공격을 통해공주(Princess) 랜섬웨어가 유포되었다공주 랜섬웨어는 과거 국내 유포이력이 있는 랜섬웨어로서테러 익스플로잇킷과 함께 복호화 비용을 낮춰서 재등장 하였다.



□ 내용

공주 랜섬웨어는 사용자PC에 감염되어 특정 확장자 파일을 암호화 시키기 시작한다암호화가 끝난 이후암호화된 파일들은 임의로 생성된 확장자로 변경된다.

악성행위가 끝난 뒤 지불금액을 알리는 랜섬노트가 출력되며해당 랜섬노트는 한국어를 포함한 12개 언어를 지원하고 있다.

 

[그림 1] 12개의 언어 지원 화면
 

공격자는 랜섬웨어의 복구능력을 보여주기 위해서웹 사이트를 통해 무료복구 서비스를 제공한다해당 웹 사이트에 접속하게 되면 최대 1MB까지 암호화된 파일에 대한 무료복구가 가능하다.

  

[그림 2] 무료복구 서비스 제공 화면

 

악성코드 공격자는 랜섬노트를 통해 약 30만원(0.066BTC)상당의 비트코인을 요구하며, 7일이 지난 이후에는 약 100만원(0.198BTC)상당의 비트코인을 요구한다.

지난 2016년도에 유포된 공주 랜섬웨어는 약 200만원(3BTC)을 요구했었던 반면금번 유포된 사례에서는 가격이 약 1/7로 감소하였다.

 

[그림 3] 랜섬노트 화면

 

테러 익스플로잇킷은 인터넷 익스플로러파이어폭스플래시 플레이어 등의 취약점을 공격하며보안패치가 되지 않은 사용자가 특정 웹 사이트에 방문할 경우 자동으로 악성코드에 감염된다.

또한사용하는 공격방식이 기존에 국내 사용자들을 대상으로 랜섬웨어를 유포한 "선다운(Sundown) 익스플로잇킷"과 유사한 방식으로 작동한다는 특징이 있다. 

 

 

바이로봇 업데이트 내역

Trojan.Win32.R.Agent.786432.A

 

※ 드라이브 바이 다운로드 공격 예방방법 :https://www.hauri.co.kr/download/apt_free.html

※ 랜섬웨어 감염 예방방법 :http://www.hauri.co.kr/Ransomware/prevention.html

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담