ViRobot

하우리샵 바로가기

보안이슈 분석

광고 프로그램 모듈을 통해 유포되는 AllCry 랜섬웨어 유포 주의
등록일 : 2017.09.30

 □ 개요

최근 웹하드 업체 프로그램을 통해 AllCry 랜섬웨어가 유포되고 있으며, 특히 국내에 이미 감염사례가 발생하여 사용자들의 각별한 주의가 요구된다.

 □ 내용

연휴 시작과 동시에 국내 웹하드를 통해서 "AllCry 랜섬웨어"가 본격적으로 유포된 정황이 포착되었다. 해당 랜섬웨어가 최초로 발견된 것은 지난달 말이였으나 추석 연휴가 시작되자마자 본격적으로 국내에 유포되었다.  

AllCry 랜섬웨어에 감염 시 PC내 주요 자료들의 파일이 암호화되고 확장자가 ".allcry"으로 변경된다. 또한 암호화하는 확장자 목록에 한글 문서 파일인 "hwp" 파일도 포함되어 있는 점에서 국내 사용자를 대상으로 하고 있음을 확인할 수 있다.

[그림1] 암호화된 파일

감염 PC의 정보를 서버로 전송한다. 서버는 해킹당한 것으로 추정되는 국내 모 사이트 이며 /css/count.php 페이지를 활용한다.

 

[그림2] 감염 PC 정보 전송

 

Allcry의 랜섬노트는 영어, 한국어, 중국어 등 총 3개국어를 지원하고 있으며 메뉴에서 선택한 언어에 맞게 비트코인 지불 정보를 출력해 준다. 

 

[그림3] 리소스 영역에 존재하는 랜섬노트 text

[그림4] 언어별 랜섬노트 

 

랜섬웨어에 모든 파일의 파일명 및 확장자가 변경된 후 사용자에게 감염여부를 알린다. 이때 사용자에게 감염 사실을 알리는 창에 "주소"가 "주수"로 잘못 기입되어있는 것을 확인할 수 있다. 감염 안내 메세지의 다른 "주소"라는 단어에는 오타가 없으나 한 군데에서 오타가 발생한 것으로 보아 한국어를 할 수 있는 제작자가 직접 감염 안내 문구를 작성한 것으로 추정된다.  

[그림5] 감염 확인

 

AllCry 랜섬웨어는 워너크라이 랜섬웨어처럼 특정 사이트에 접속하는 경우 사용자의 PC를 감염시킨다. 그러나 해당 사이트에서 랜섬웨어와 통신하지 않도록 조치가 된 것으로 보인다. 현재 AllCry 랜섬웨어는 해당 사이트에 접속하지 못해 더이상 사용자의 PC를 감염시키지 않는다. 하지만 또 다른 사이트를 이용하는 변종이 등장할 수 있기 때문에 아직 안심하기는 이르다.  

 

 □ 바이로봇 업데이트 내역

대표진단명 Trojan.Win32.Ransom

대표진단명 Trojan.Win32.AllCry

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html

 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담