2017.06.07 AhnLab 

랜섬웨어 공격 방식이 나날이 고도화되고 있는 가운데, 최근 사회공학기법을 이용한 랜섬웨어 유포가 확인돼 사용자의 각별한 주의가 요구된다. 최근 발견된 랜섬웨어는 경찰을 사칭한 이메일 통해 유포됐다.

이번에 발견된 랜섬웨어는 [그림 1]과 같이 경찰서에서 발송한 메일로 위장하고 있는데, ‘위반 사실 통지 및 과태료 부과라는 제목으로 사용자들의 관심을 유도하고 있다. 또한 본문에는 개인정보 보호를 위해 첨부파일에 비밀번호가 설정되어 있다는 말로 사용자의 의심을 피하는 동시에 백신의 파일 검사를 우회하기 위해 압축파일(.egg) 형태의 파일을 첨부한 것이다.

[그림 1] 수원남부 경찰서를 사칭한 이메일 본문

교통범칙금 인터넷 납부 교통조사예약 시스템(eFINE)을 사칭한 사례도 있다([그림 2]). 마찬가지로 백신의 검사를 우회하기 위해 압축 파일(.egg) 형태의 파일을 첨부하고 있다.

[그림 2] eFINE을 사칭한 이메일 본문

위의 두 사례에서 차이점은 압축 파일 내에 포함된 파일의 구성이 다른 형태를 하고 있다는 점이다. 이메일 유포 시기에 따라 다양한 형태의 위장 파일이 첨부되었으며, 이를 통해 유포되는 랜섬웨어의 종류도 오토크립터(AutoCryptor) 부터 비너스락커(Venus Locker)까지 다양했다.

경찰서 사칭 메일을 통해 유포된 오토크립터(AutoCryptor) 랜섬웨어의 경우 [그림 3]과 같이 한글문서파일(.hwp)이나 전자문서파일(.pdf), 이미지파일(.jpg)로 위장한 바로가기파일(.lnk)의 형태로 압축되어 있었다.

[그림 3] 압축 해제한 첨부 파일

오토크립터 랜섬웨어는 .hwp .pdf 확장자 등을 가진 문서 파일로 위장하고 있지만 실제로는 문서 파일이 아닌 실행 가능한(.exe) 파일이다. 사용자가 문서 파일로 알고 해당 .exe 파일을 실행하면, 시스템 내부의 정보들이 서버로 전송되고 시스템의 파일들이 암호화된다.

파일의 암호화가 완료되면 [그림 4]와 같이 비트코인 결제를 위한 랜섬노트가 출력된다. 파일이 암호화 되었으며 복구하기 위해서 지불해야 하는 비트코인 금액과 지불 방법이 나와있다. 랜섬노트가 출력되는 순간 사용자는 자신에게 선택지가 많지 않음을 인지하게 된다.

[그림 4] 랜섬노트 화면

해당 랜섬웨어는 .doc, .ppt, .xls, .txt 등 문서 파일뿐만 아니라 .exe, .zip 파일 등 대부분의 파일을 암호화한다. 뿐만 아니라, 파일 확장자를 변경하지 않기 때문에 랜섬노트가 나타나거나 프로그램 실행 또는 암호화된 파일을 열어보기 전까지는 랜섬웨어에 감염되었는지 인지하기 어려울 수도 있다.

최근 업무 관련 이메일은 물론, 해외 배송, 과태료 통지 등과 같이 일상생활과 밀접한 내용으로 위장한 이메일을 통해 랜섬웨어가 유포되고 있다. 특히 이번 사례처럼 신뢰할 수 있는 공공기관으로 위장한 이메일의 경우 사용자들이 별다른 의심 없이 첨부한 파일을 실행할 가능성이 높다. 따라서, 신뢰할 수 있는 기관에서 발송된 메일이라도 첨부 파일을 다운로드하기 전에 발신자의 주소를 다시 한번 확인하고, 첨부 파일을 실행하기 전에는 반드시 최신 버전의 백신으로 검사하는 등의 습관이 필요하다