HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

새로운 국내 타깃 랜섬웨어 ‘WannaCryptor’ 등장
등록일 :
2017.04.11

□ 개요

최근 한글 파일을 노리는 새로운 랜섬웨어가 발견되었다. 금번 발견된 랜섬웨어는 hwp(한글 문서파일) 확장자도 감염 대상에 포함되어 있어 국내를 공격의 대상으로 삼은 것으로 보인다. 국내를 공격의 대상으로 삼은 만큼 사용자들의 각별한 주의가 요구된다

 

□ 내용

금번에 발견된 WannaCryptor 랜섬웨어는 감염되면 사용자 PC의 주요 파일들이 암호화되고 확장자는 ‘WCRY’로 변경된다.

 

[그림 1] WCRY로 확장자 변경

 

사용자의 주요 파일을 모두 감염시킨 후 바탕화면에 감염 사실을 알리는 실행 파일을 생성하고 사용자에게 주기적으로 감염 사실을 알린다. 해당 랜섬웨어가 요구하는 파일의 몸값은 0.3비트코인(한화 약 40만원)으로 감염 후 3일 이내에 지불하지 않으면 몸값을 두 배로 올린다. 또한 7일안에 비트코인을 지불하지 않으면 영원히 파일을 복구하지 못한다는 문구와 함께 남은 시간을 기재하여 사용자들을 위협한다

 

[그림 2] WannaCryptor 감염 화면

 

해당 랜섬웨어는 Decrypt 버튼을 통해 사용자의 감염된 파일의 일부를 복구해주며 사용자에게 비트코인을 지불한다면 나머지 감염된 파일들이 복구될 수 있다는 것을 확인시켜준다.

 

[그림 3] 감염 파일 일부 복구

 

또한 랜섬웨어 제작자에게 메시지를 보내는 기능과 빠른 비트코인 결제를 위한 QR코드를 삽입하여 사용자들로 하여금 쉽게 비트코인을 지불할 수 있도록 한다.

 

[그림 4] 메시지 수신 기능 


[그림 5] QR 코드 제공

 

특히 WannaCryptor 랜섬웨어는 감염 확장자 목록에 HWP(한글 문서 파일) 확장자가 추가되어 있어 국내를 타깃으로 하는 것으로 확인되었다. 다양한 기능을 추가한 랜섬웨어가 특히 국내를 타깃으로 하여 유포되고 있는 만큼 국내 사용자들의 각별한 주의가 요구된다.

 

 

[1] 감염대상 확장자

 


□ 바이로봇 업데이트 내역

Trojan.Win32.S.WannaCry

Trojan.Win32.S.WannaCryptor

 

 

□ WannaCryptor 2.0 변화

- 암호화된 파일의 확장자가 .wncry 등 변종에 따라 다양하게 나타난다.

- 감염창 안내문이 한글을 포함하여 다양한 언어를 지원한다.


※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top