-
Zepto 랜섬웨어 소개카테고리 없음 2016. 7. 8. 13:20반응형
Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.
Zepto 감염과정
Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.
zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.
한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다. 최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.
Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.
FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto
FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto
FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto
FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto
각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.
파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.
감염 대처요령
• 자바스크립트 첨부물을 파일탐색기(Explorer)가 .js 파일을 메모장으로 열도록 한다.
• 조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.
• VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정
• 랜섬웨어 방지 참고자료(PDF 문서):
• 랜섬웨어 방지 참고자료(팟캐스트):
https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/
Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.
https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/
번역: madfox
참고링크
반응형