VBA에 해당하는글 2



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.18 15:16

Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


 


Zepto 감염과정

 

Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.


 


zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.


 

한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.


 

Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.

 

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

 

각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.

 

파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.


 


감염 대처요령

자바스크립트 첨부물을 파일탐색기(Explorer).js 파일을 메모장으로 열도록 한다.

조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.

VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정

랜섬웨어 방지 참고자료(PDF 문서):

https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf?la=en

랜섬웨어 방지 참고자료(팟캐스트):

https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/


 

 

Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.

https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.08 13:20

위로가기