HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

웹사이트 방문만으로 감염이 이루어지는 매트릭스(Matrix) 랜섬웨어 감염 주의
등록일 :
2017.07.11

□ 개요

최근 국내 웹사이트를 통해 매트릭스(Matrix) 랜섬웨어가 유포되고 있다. 취약한 응용프로그램을 가진 사용자가 웹사이트 방문 시 드라이브 바이 다운로드(Drive-By-Download) 방식으로 감염이 이루어진다. 매트릭스 랜섬웨어는 악성코드 유포 공격 도구 중 하나인 선다운(Sundown) 익스플로잇 킷을 통해 국내 사용자들을 위협하고 있다.

 

 

□ 내용

금번에 발견된 매트릭스(Matrix) 랜섬웨어는 사용자 PCIP에서 음란물 사이트나 아동 및 동물 학대 사이트에 접속하여 미국 연방법을 위반했으므로 모든 중요 파일들을 암호화했으니 벌금을 내라라는 내용을 출력한다. 또한 데이터 복구 가능 시간은 96시간이며, 12시간마다 몸값이 100달러(한화 약 11만원) 증가된다며 결제를 유도한다.

 


[그림 1] 매트릭스의 감염화면(랜덤명.hta)

 

C&C 서버에 사용자의 암호화 키, 컴퓨터명, 사용자계정명, SID 값 등의 정보를 전달한다.

 


[그림 2] C&C 서버와 통신

 

사용자의 주요 파일을 아래와 같이 감염시키며, 이전에 “.Matrix” 확장자명으로 변경했던 것과 달리 확장자를 변경하지 않는다.

 

 


[그림 3] 암호화된 파일 및 생성된 rtf파일

 

본 랜섬웨어는 TEMP, Application Data\Local\Microsoft 폴더 등에 자가복제 후 실행하며, 파일 암호화가 완료되면 배치파일을 이용해 자가복제 파일을 삭제한다.

 


[그림 4] 복제파일을 삭제하는 배치 파일 생성

 

암호화를 마친 파일의 각 경로에 “!WhatHappenedWithMyFiles!.rtf” 파일명을 생성한다.

 


[그림 5] !WhatHappenedWithMyFiles!.rtf 파일의 내용

 

현재 유포된 매트릭스 랜섬웨어는 웹 사이트 방문만 해도 감염이 이루어지기 때문에 사용자들의 각별한 주의가 요구되며, 취약한 응용프로그램의 업데이트나 바이로봇 백신을 통해 보호할 수 있다.

 


바이로봇 업데이트 내역

Trojan.Win32.R.Agent.393216.FX

Trojan.Win32.R.Agent.454144.A

Trojan.Win32.R.Agent.379904.B 외 다수

랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top