2016.06.07

사이포트가 설명하는 '랜섬웨어 변종' 8종

Ryan Francis | CSO
랜섬웨어는 종종 개인보다 병원과 같은 회사들을 표적으로 한다. 기업들은 가치있는 데이터와 데이터 몸값을 지불할 돈이 있다. 이에 따라 컴퓨터 당 대략 50만원에서 150만 원 이상으로 몸값은 증가하고 있다.

또한 과거에는 클라우드 스토리지에 공유된 자신의 데이터는 안전했다. 그러나 새로운 버전의 랜섬웨어는 클라우드에 공유된 파일 시스템을 공격할 수 있게 만들었다. 사이포트(Cyphort)는 랜섬웨어에 감염되어 난처해하고 있을 사용자들을 위해 다양한 랜섬웨어 변종들에 대해 설명했다. 자신의 데이터가 인질이 되기 전에 각별히 조심하자.

직소(JIGSAW)
몸값을 빠르게 지불해야 하는 절박한 상황이 조장하기 위해 매시간마다 파일 삭제한다.
직소(JIGSAW) 랜섬웨어는 피해자가 몸값을 지불하지 않으면 시간이 지남에 따라 컴퓨터에 있는 암호화된 파일을 삭제한다. 이렇게 삭제된 파일은 나중에 몸값을 지불하거나 다른 수단을 통해 파일을 암호화를 풀어도 복구가 되지 않는다.
이 악성코드는 피해자가 자신들의 컴퓨터를 재시작해 윈도우에 로그인했을 때부터 시간당 1,000개 파일들을 삭제한다.

페트야(Petya)
전체 드라이브를 암호화시킨다. 페트야(Petya) 랜섬웨어는 마스터 파일 테이블(Master File Table, MFT)를 암호화한다. 이 테이블에는 파일과 폴더들이 어떻게 할당되는 지에 대한 모든 정보가 포함되어 있다.

랜섬웹(RansomWeb), 킴실웨어(Kimcilware)
웹 서버 데이터를 암호화시킨다. 랜섬웹(RansomWeb), 킴실웨어(Kimcilware)는 일반적인 랜섬웨어의 공격 경로가 아니다. 이 랜섬웨어들은 취약점을 통해 사용자 컴퓨터에 들어가는 대신 웹서버의 웹사이트 데이터베이스와 호스티드 파일들을 감염시킨다. 그리고 몸값을 지불할 때까지 웹사이트를 사용할 수 없게 만든다.

DMA록커(DMA Locker), 록키(Locky), 케르베르(Cerber), 크립토포트리스(CryptoFortress)
네트워크 드라이브에 있는 데이터를 암호화시킨다. DMA록커, 록키, 케르베르, 크립토포트리스 이들 모두는 열려있는 모든 SMB(Server Message Block)을 공유하고, 발견되는 모든 것을 암호화한다.

마크툽(Maktub)
마크툽(Maktub)은 압축 파일을 빠른 속도로 암호화시킨 최초의 랜섬웨어다.

심플록커(SimpleLocker)
윈도우 기반이 아닌 컴퓨터를 노린다. 심플록커(SimpleLocker)는 안드로이드 기반의 파일들을 암호화한다.

케르베르(Cerber)
컴퓨터 스피커를 사용해 피해자에게 음성 메시지를 보낸다. 케르베르 랜섬웨어는 "# DECRYPT MY FILES #.vbs"이라는 제목의 VBS 스크립트를 만들어 피해자에게 몸값을 지불하라는 메시지를 음성으로 전달한다.
영어로만 말할 수 있지만 공격자들은 12개 언어로 커스터마이징해서 사용할 수 있다. 음성 원문은 다음과 같다.

“Attention! Attention! Attention!”, “Your documents, photos, databases and other important files have been encrypted!”

톡스(Tox)
톡스는 지하세계 네트워크에서 서비스로써의 랜섬웨어(Ransomware as a service) 모델을 제공했다. 이는 악의적인 코드와 돈을 받을 인프라스트럭처, 피해자에게 그들의 정보를 액세스할 수 있도록 하는 암호화 키를 제공한다. editor@itworld.co.kr



2016.06.07

사이포트가 설명하는 '랜섬웨어 변종' 8종

Ryan Francis | CSO
랜섬웨어는 종종 개인보다 병원과 같은 회사들을 표적으로 한다. 기업들은 가치있는 데이터와 데이터 몸값을 지불할 돈이 있다. 이에 따라 컴퓨터 당 대략 50만원에서 150만 원 이상으로 몸값은 증가하고 있다.

또한 과거에는 클라우드 스토리지에 공유된 자신의 데이터는 안전했다. 그러나 새로운 버전의 랜섬웨어는 클라우드에 공유된 파일 시스템을 공격할 수 있게 만들었다. 사이포트(Cyphort)는 랜섬웨어에 감염되어 난처해하고 있을 사용자들을 위해 다양한 랜섬웨어 변종들에 대해 설명했다. 자신의 데이터가 인질이 되기 전에 각별히 조심하자.

직소(JIGSAW)
몸값을 빠르게 지불해야 하는 절박한 상황이 조장하기 위해 매시간마다 파일 삭제한다.
직소(JIGSAW) 랜섬웨어는 피해자가 몸값을 지불하지 않으면 시간이 지남에 따라 컴퓨터에 있는 암호화된 파일을 삭제한다. 이렇게 삭제된 파일은 나중에 몸값을 지불하거나 다른 수단을 통해 파일을 암호화를 풀어도 복구가 되지 않는다.
이 악성코드는 피해자가 자신들의 컴퓨터를 재시작해 윈도우에 로그인했을 때부터 시간당 1,000개 파일들을 삭제한다.

페트야(Petya)
전체 드라이브를 암호화시킨다. 페트야(Petya) 랜섬웨어는 마스터 파일 테이블(Master File Table, MFT)를 암호화한다. 이 테이블에는 파일과 폴더들이 어떻게 할당되는 지에 대한 모든 정보가 포함되어 있다.

랜섬웹(RansomWeb), 킴실웨어(Kimcilware)
웹 서버 데이터를 암호화시킨다. 랜섬웹(RansomWeb), 킴실웨어(Kimcilware)는 일반적인 랜섬웨어의 공격 경로가 아니다. 이 랜섬웨어들은 취약점을 통해 사용자 컴퓨터에 들어가는 대신 웹서버의 웹사이트 데이터베이스와 호스티드 파일들을 감염시킨다. 그리고 몸값을 지불할 때까지 웹사이트를 사용할 수 없게 만든다.

DMA록커(DMA Locker), 록키(Locky), 케르베르(Cerber), 크립토포트리스(CryptoFortress)
네트워크 드라이브에 있는 데이터를 암호화시킨다. DMA록커, 록키, 케르베르, 크립토포트리스 이들 모두는 열려있는 모든 SMB(Server Message Block)을 공유하고, 발견되는 모든 것을 암호화한다.

마크툽(Maktub)
마크툽(Maktub)은 압축 파일을 빠른 속도로 암호화시킨 최초의 랜섬웨어다.

심플록커(SimpleLocker)
윈도우 기반이 아닌 컴퓨터를 노린다. 심플록커(SimpleLocker)는 안드로이드 기반의 파일들을 암호화한다.

케르베르(Cerber)
컴퓨터 스피커를 사용해 피해자에게 음성 메시지를 보낸다. 케르베르 랜섬웨어는 "# DECRYPT MY FILES #.vbs"이라는 제목의 VBS 스크립트를 만들어 피해자에게 몸값을 지불하라는 메시지를 음성으로 전달한다.
영어로만 말할 수 있지만 공격자들은 12개 언어로 커스터마이징해서 사용할 수 있다. 음성 원문은 다음과 같다.

“Attention! Attention! Attention!”, “Your documents, photos, databases and other important files have been encrypted!”

톡스(Tox)
톡스는 지하세계 네트워크에서 서비스로써의 랜섬웨어(Ransomware as a service) 모델을 제공했다. 이는 악의적인 코드와 돈을 받을 인프라스트럭처, 피해자에게 그들의 정보를 액세스할 수 있도록 하는 암호화 키를 제공한다. editor@itworld.co.kr

X