HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

간판 바꿔 등장한 CRBR ENCRYPTOR 랜섬웨어 감염 주의
등록일 :
2017.07.10

  개요


최근 말하는 랜섬웨어로 유명한 케르베르 랜섬웨어가 "CRBR ENCRYPTOR"로 간판을 바꿔 국내에 유포된 사실이 알려졌다. 해당 랜섬웨어는 대부분 이메일 첨부 파일 열람 및 웹 브라우저 취약점을 통해 유포된다. 피해가 많았던 케르베르 랜섬웨어의 리네임 버전인 만큼 사용자들의 각별한 주의가 요구된다.


  내용


금번에 발견된 CRBR ENCRYPTOR 랜섬웨어는 기존 케르베르 랜섬웨어의 리네임 버전으로 이메일 첨부 파일 열람 및 웹 브라우저 취약점을 통해 유포되는 사례가 대부분이다. 해당 랜섬웨어는 파일을 암호화 한 후 ‘_R_E_A_D___T_H_I_S___(랜덤)__.txt’,‘_R_E_A_D___T_H_I_S___(랜덤)__.hta’ 메시지를 띄워 비트코인을 요구한다.


[그림 1]과 같이 CRBR ENCRYPTOR 랜섬웨어는 특정 IP에 대하여 UDP 프로토콜 패킷을 전송한다.


[그림 1] UDP 프로토콜 패킷 전송


해당 랜섬웨어는 기존의 케르베르 랜섬웨어와 유사한 방식으로 암호화된 파일을 ‘(랜덤 파일명).(랜덤 4자리 확장명)’ 형태로 변경한다.

 


[그림 2] 암호화된 파일들

사용자의 파일을 감염시킨 후 텍스트 파일과 HTML 파일을 띄워 사용자에게 감염 사실을 알린다.




[그림 3] 금전 요구 메시지

 

[그림 4]와 같이 결제 안내 사이트(CERBER DECRYPTOR)에서는 한국어를 포함하여 13개의 언어를 지원한다.




[그림 4] CERBER DECRYPTOR

 

파일이 암호화되었다는 사실을 바탕화면에 띄워 안내한다.

 


​[그림 5] 감염화면


금번에 발견된 랜섬웨어는 기존의 케르베르 랜섬웨어와 유사한 방식으로 암호화를 진행한다. 따라서 사용자들은 발신지가 명확하지 않은 이메일 첨부 파일 열람 및 웹 사이트 방문 시 각별한 주의가 필요하다. 특히 웹 사이트 접속 시 취약점을 통한 감염 사례가 많으므로 윈도우 보안 업데이트를 최신으로 패치하는 것이 중요하다.

 

 바이로봇 업데이트 내역

Trojan.Win32.Cerber.266240.A 외 다수

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html


 


  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top