Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용

IT 보안소식 2015.04.21 14:59

2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.

클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.

[클리앙 공지사항] 운영자입니다. 악성코드 유포에 사과드립니다.

설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는

랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.

크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해

국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.

이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도

랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.

유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.

클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.

이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.

(※ 현재는 모든 외부 배너를 삭제 한 상태이다)

(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)

현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.

(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)

- 클리앙 외부 배너 광고 서버 URL (아직 미확인)

ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html

- hxxp://medbps.filmwedding.ro/lrvqdg2.html

ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.

클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.

[울지않는 벌새] 한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21)

[하우리] 한글 랜섬웨어 유포 포착!

[안랩] 한국을 목표로 한 랜섬웨어, CryptoLocker

[알약] 랜섬웨어 'Crypt0L0cker'주의!

[KRCert] 한글버전 랜섬웨어 ‘크립토락커’ 확산 주의

[윈스] 한국 타겟형 랜섬웨어 크립토락커(CryptoLocker)분석-[4월23일18시최종수정]

[AhnLab] 한국을 목표로 한 랜섬웨어, CryptoLocker 상세정보

금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.

- 파일 생성

C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)

- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"

- 파일 암호화

아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다.

(ex : 겨울.jpg.encrypted)

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe

감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.

이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.

크립토락커 악성코드에 감염이 되면 악성코드 자체는 삭제가 가능하지만,

암호화 된 파일들은 특정 암호키가 없으면 복구가 불가능 하다.

제작자에게 약 43만원 정도의 금액을 입금하면 암호키를 줄 수도 있겠지만, 무모한 도전은 안하는 것이 좋겠다.

현재 대부분의 보안업체에서 해당 파일을 탐지하고 있으니 사용하는 보안 프로그램을 최신 업데이트로 유지하고

실시간 감시를 켜두는 것이 좋다.

공감

sns신고

'IT 보안소식' 카테고리의 다른 글

뽐뿌(PPOMPPU), 해킹으로 인한 고객정보 190만건 개인정보 유출 사건 (2015-09-11) (2)	2015.09.17
한RSS(HanRSS), 서비스 종료 소식 & RSS목록(OPML) 백업 (2)	2015.05.15
Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용 (13)	2015.04.21
베어트리파크(BearTreePark), 홈페이지 리뉴얼로 인한 고객정보 2만 8천건 개인정보 유출 사건(2015-04-14) (0)	2015.04.16
구글 크롬(Google Chrome), 42.0.2311.90 업데이트!! (0)	2015.04.15
"성인 동영상"으로 유인하여 페이스북(Facebook)개인정보를 가로채는 피싱(Phishing)사이트 주의 (4)	2015.04.10

처리　

이것 저것 끄적여 보는 공간으로 만들었습니다.

Tag .onion, Alyac Exploit Shield, Avira, Bitcoin, CK Exploit Kit, Clien, Crypt0L0cker, Crypt0L0cker(크립토락커), cryptolocker, DECRYPT_INSTRUCTIONS.txt, encrypted, Exploit, HD Tune Procs, iledjwus, Ransomware, RSA-2048, SweetOrange Exploit Kit, Tor, Tor browser bundle, TR/Teerac.A.38, Trend Micro, Trojan.Ransom.cryptolocker, TROJ_FORUCON.BMC, uhiteruh.exe, Virobot APT Shield 2.0, 가상 화폐, 동영상, 랜섬웨어, 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용, 문서, 백업, 변종, 복호화, 비트코인, 비트코인 거래소, 사진, 시작 프로그램, 악성코드, 알고리즘, 알약, 알약 익스플로잇 쉴드, 암호화, 인터넷, 취약점, 커뮤니티, 클리앙, 토르, 한국, 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용

트랙백 2개, 댓글 13개가 달렸습니다

Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용

'IT 보안소식' 카테고리의 다른 글

공지사항

카테고리

태그목록

글 보관함

달력

링크

처리

LATEST FROM OUR BLOG

LATEST COMMENTS

BLOG VISITORS

« 2018/11 »
일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30