IT/보안 소식 2015.04.21 14:59

Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용





2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.

클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.



설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는 

랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.


크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해 

국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.


이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도

랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.


유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.

클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.


이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.

(※ 현재는 모든 외부 배너를 삭제 한 상태이다)

(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)



현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.

(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)

- 클리앙 외부 배너 광고 서버 URL (아직 미확인)

 ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html


hxxp://medbps.filmwedding.ro/lrvqdg2.html

 ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.


<frameset rows="100%">

<frame src="hxxp://row.bottomwebsites.xyz/bewilders_urchin_platters_valid/17372163791826990">...</frame>



클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.


금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.

- 파일 생성

C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"


- 파일 암호화

아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다. 

(ex : 겨울.jpg.encrypted)

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe


감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.




이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.


크립토락커 악성코드에 감염이 되면 악성코드 자체는 삭제가 가능하지만,
암호화 된 파일들은 특정 암호키가 없으면 복구가 불가능 하다.

제작자에게 약 43만원 정도의 금액을 입금하면 암호키를 줄 수도 있겠지만, 무모한 도전은 안하는 것이 좋겠다.

현재 대부분의 보안업체에서 해당 파일을 탐지하고 있으니 사용하는 보안 프로그램을 최신 업데이트로 유지하고
실시간 감시를 켜두는 것이 좋다.


'IT/보안 소식' 카테고리의 다른 글

뽐뿌(PPOMPPU), 해킹으로 인한 고객정보 190만건 개인정보 유출 사건 (2015-09-11)  (2) 2015.09.17
한RSS(HanRSS), 서비스 종료 소식 & RSS목록(OPML) 백업  (2) 2015.05.15
Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용  (13) 2015.04.21
베어트리파크(BearTreePark), 홈페이지 리뉴얼로 인한 고객정보 2만 8천건 개인정보 유출 사건(2015-04-14)  (0) 2015.04.16
구글 크롬(Google Chrome), 42.0.2311.90 업데이트!!  (0) 2015.04.15
"성인 동영상"으로 유인하여 페이스북(Facebook)개인정보를 가로채는 피싱(Phishing)사이트 주의  (4) 2015.04.10
posted by 처리 
TAG , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback 2 : Comment 13

댓글을 달아 주세요

  1.  Addr  Edit/Del  Reply Favicon of http://koyeseul.net BlogIcon 책덕후 화영

    역시 백업을 철저히 하는게 중요하겠군요...;;;

    2015.04.22 22:49 신고
    •  Addr  Edit/Del Favicon of http://kjcc2.tistory.com BlogIcon 처리 

      그렇죠^^; 근데 같은 하드웨어상에 있는것도 모두 감염될 수 있으니 왠만하면 클라우드를 사용하는게 좋을 듯 합니다.

      2015.04.23 09:27 신고
  2.  Addr  Edit/Del  Reply

    비밀댓글입니다

    2015.04.29 13:52
  3.  Addr  Edit/Del  Reply

    비밀댓글입니다

    2015.05.08 13:24
    •  Addr  Edit/Del Favicon of http://kjcc2.tistory.com BlogIcon 처리 

      많이 본 아이들은 쉽게 파악이 되지만,
      신규로 나오는 아이들은 쉽게 파악하기 어렵습니다.

      수동 디버깅으로 취약점을 찾기보다는 특징을 구글에 검색해서
      찾는게 좀 더 효율적일 겁니다^^

      저같은 경우는 경험에 많이 의존하는 편입니다 ㅠㅠ

      2015.05.09 21:27 신고
    •  Addr  Edit/Del

      비밀댓글입니다

      2015.05.11 09:23
    •  Addr  Edit/Del Favicon of http://kjcc2.tistory.com BlogIcon 처리 

      그렇죠^^ 알려지지 않은 취약점이라면 CVE넘버를 알기는 어렵죠
      하지만 말씀하신것처럼 대부분 외국에서 먼저 나오죠 ㅎㅎ

      2015.05.11 09:27 신고
  4.  Addr  Edit/Del  Reply

    비밀댓글입니다

    2015.05.27 18:35