Mischa에 해당하는글 3


러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.


MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.


Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.


다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.


현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 5. 15:15



랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed denial of service, DDoS)이나 스팸전송 등에 활용되는 좀비PC가 된다. 이는 근래 맬웨어가 다목적으로 여러 악성코드를 가지고 있는 경향을 반영하는 사례다.


사실 여러 악성코드를 담은 랜섬웨어는 Cerber 이전에도 목격된 바 있다. Petya 랜섬웨어의 경우 피해자 컴퓨터의 하드드라이브 전체를 암호화하는 데 필요한 승인을 얻기 위해 Mischa 악성코드를 동반한다. CryptXXX 랜섬웨어의 경우 기본적인 암호화 외에 피해자의 개인정보와 비트코인을 훔칠 수 있는 기능까지 가지고 있다.


이렇게 여러 기능을 보유한 랜섬웨어는 기존의 단순한 랜섬웨어에 비해 훨씬 큰 피해를 야기할 수 있으며 따라서 예방의 중요성 또한 더욱 커진다. 사실 Cerber와 같은 랜섬웨어는 감염시 영향은 치명적이지만 충분히 예방할 수 있다. 이메일 주의, 주기적 백업, 운영체제 및 어플리케이션 패치 최신으로 유지, 강력한 보안솔루션 사용 등의 수칙을 따름으로써 랜섬웨어 감염을 예방하고 설령 감염이 발생할지라도 그 피해를 최소화할 수 있다. Kaspersky Lab 보안솔루션은 Cerber 랜섬웨어를 Trojan-Ransom.Win32.Zerber라는 이름으로 탐지해 낼 수 있다.



<참고: 카스퍼스키 안티바이러스 상세정보>




Sarah Pike, Multipurpose malware: Sometimes Trojans come in threes, 5. 27. 2016.

https://usblog.kaspersky.com/cerber-multipurpose-malware/7201/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 1. 14:16



Petya 및 Mischa 랜섬웨어 제작자들이  '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다.

참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service


그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데 도움이 될 수 있다고 밝히고 있다.

참고: http://pastebin.com/7HrZCsmT


Mischa 제작자들이 작성한 내용은 다음과 같다. "2016년 초 우리는 Chimera 랜섬웨어 개발과정에 상당부분이 접근할 수 있었으며 이에 따라 Chimera를 우리 프로젝트에 포함시켰다. 아울러 Chimera에 대한 복호화키 3500개를 공개 배포한다."


해당 복호화키가 실제로 Chimera 랜섬웨어로 암호화된 파일을 복호화할 수 있는지 판별하고 이를 통해 복호화 프로그램이 제작돠려면 시간이 거릴 수밖에 없지만 적어도 가능성은 생겼으므로 Chimera 랜섬웨어 피해자는 섣불리 파일을 삭제하지 말고 기다리는 것도 방법이 될 수 있겠다. 하지만 앞서 언급한 RaaS를 통해 참여자에게 랜섬웨어를 배포하여 수익을 챙길 수 있는 기회를 주는 방식이 출현했으며 상당기간 널리 퍼지리라 예상되므로 결코 주의를 늦출 수는 없다.


컴퓨터기술포럼 BleepingComputer.com 설립자 Lawrence Abrams는 "이번 일을 계기로 Petya 및 Mischa 랜섬웨어의 배포가 더욱 활발하게 일어날 가능성이 높다."는 의견을 피력했다.



Lisa Vaas, Chimera ransomware keys leaked by rival malware developers, 7. 28. 2016.

https://nakedsecurity.sophos.com/2016/07/28/chimera-ransomware-keys-leaked-by-rival-malware-developers/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 29. 16:40

위로가기