HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

매트릭스(Matrix) 변종 랜섬웨어 감염 주의
등록일 :
2017.10.27

 

□ 개요 

지난 7월에 이어 최근 매트릭스 랜섬웨어가 발견되어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용 

이전 매트릭스 랜섬웨어는 “불법 사이트에 접속했으니 벌금을 내놓으라는 내용이었으나 금일 발견된 매트릭스 랜섬웨어는 "파일이 암호화 되었으니 복호화를 원하면 이메일을 보내라"는 내용만 포함되어 있다.


[그림 1] 매트릭스의 감염화면 

 

해당 랜섬웨어는 %TEMP% 경로와 %AppData%\[랜덤명폴더] 경로에 자가복제 후 실행한다. 

파일 암호화 완료 후에는 배치파일을 이용해 원본 랜섬웨어 파일과 자가복제 랜섬웨어 파일을 삭제한다.


[그림 2] 자가복제한 파일을 삭제하는 배치 파일 생성 

 

사용자의 주요 파일을 아래와 같이 감염시키며, 올해 7월에 유포된 매트릭스와 같이 확장자를 변경하지 않는다는 점은 동일하다.

 

[그림 3] 확장자 변경 없이 암호화된 파일과 생성된 RTF파일 

 

하지만 이번 매트릭스는 바탕화면 내용과 감염 사실을 알리는데 쓰이는 RTF 파일명이 변경되었다.

 

변경 전 : !WhatHappenedWithMyFiles!.rtf

변경 후 : #_#WhatWrongWithMyFiles#_#.rtf

 

다음 [그림 4]는 각 폴더에 RTF 파일을 생성하여 감염 사실을 알리는 모습이다. 공격자는 "juche"라는 계정의 Yahoo, Tutanota 메일 주소를 제시하며 사용자에게 복호화를 원하면 자신에게 메일을 보낼 것을 요구한다.

 

[그림 4] #_#WhatWrongWithMyFiles#_#.rtf 파일의 내용

 

최근 조용했던 매트릭스 랜섬웨어가 국내에 다시 유포되고 있으니 사용자들의 각별한 주의가 요구되며, 취약한 응용프로그램의 업데이트나 바이로봇 백신을 통해 보호할 수 있다.

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.R.Agent

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top