하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

발칸 반도를 타깃으로 하는 File Spider 랜섬웨어 감염 주의
등록일 :
2017.12.13

□ 개요

최근 발칸 반도를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있어 사용자들의 각별한 주의가 요구된다.

 

□ 내용

최근에 보스니아, 헤르체고바나, 세르비아, 크로아티아를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있다. 스팸 메일에는 악성 워드 매크로 문서가 포함되어있으며, 매크로를 실행할 시 파워쉘스크립트가 동작하며 파일 dec.exe와 enc.exe가 다운로드된다.

 

[그림 1] 악성 워드 매크로 문서

 

파일 dec.exe와 enc.exe는 %UserProfile%\AppData\Roaming\Spider에 다운로드된다. dec.exe는 decryptor GUI로 enc.exe가 암호화를 마칠 때까지 백그라운드에서 실행된다.

 

 

[그림 2] 파일 dec.exe와 enc.exe 생성 모습

 

해당 랜섬웨어는 파일 확장자를 ‘.spider’로 변경하여 암호화를 수행한다. 특히 암호화 파일 중에는 확장자 '.hwp'도 포함되어있다.

 

[그림 3] 파일 암호화

 

파일 암호화가 완료되면 %UserProfile%\AppData\Roaming\Spider에 files.txt와 5p1d3r 파일이 생성된다. file.txt 파일에는 암호화 되기 전에 원본 파일의 경로가 기록된다.

 

[그림 4] 파일 file.txt와 5p1d3r 생성 모습

 

랜섬웨어 감염 사실과 함께 토르 지불 사이트와 토르 사이트 로그인에 필요한 ID 코드, 복호화 키에 대해 안내한다.

 

 

[그림 5] 감염 사실을 알리는 페이지

 

피해자가 토르 사이트로 이동해서 ID 코드를 적은 뒤 로그인하면 복호화 키를 받기 위한 비트코인 지불 방법이 적혀 있는 Decryptor 페이지를 보여준다.

 

[그림 6] Decryptor 

 

금번에 발견된 랜섬웨어는 발칸 반도를 대상으로 스팸 메일의 첨부 파일로 유포되었다. 향후 국내를 대상으로 유포될 수 있으니 국내 사용자들도 스스로 중요 문서에 대한 백업을 하는 등 각별한 주의가 요구된다.

 

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top