2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.

클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.



설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는 

랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.


크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해 

국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.


이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도

랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.


유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.

클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.


이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.

(※ 현재는 모든 외부 배너를 삭제 한 상태이다)

(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)



현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.

(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)

- 클리앙 외부 배너 광고 서버 URL (아직 미확인)

 ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html


hxxp://medbps.filmwedding.ro/lrvqdg2.html

 ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.


<frameset rows="100%">

<frame src="hxxp://row.bottomwebsites.xyz/bewilders_urchin_platters_valid/17372163791826990">...</frame>



클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.


금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.

- 파일 생성

C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"


- 파일 암호화

아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다. 

(ex : 겨울.jpg.encrypted)

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe


감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.




이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.


크립토락커 악성코드에 감염이 되면 악성코드 자체는 삭제가 가능하지만,
암호화 된 파일들은 특정 암호키가 없으면 복구가 불가능 하다.

제작자에게 약 43만원 정도의 금액을 입금하면 암호키를 줄 수도 있겠지만, 무모한 도전은 안하는 것이 좋겠다.

현재 대부분의 보안업체에서 해당 파일을 탐지하고 있으니 사용하는 보안 프로그램을 최신 업데이트로 유지하고
실시간 감시를 켜두는 것이 좋다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.