[악성코드 분석] 페이스북 아이콘으로 위장한 ‘KKK 랜섬웨어’ 감염 주의

페이스북 아이콘으로 위장한 ‘KKK 랜섬웨어’ 감염 주의

1. 개요 

‘KKK(Ku Klux Klan)’ 란 백인 우월주의, 반유대주의, 인종차별, 동성애 반대 등을 표방하는 미국의 극우 비밀 결사 단체로 알려져 있다. 

최근, 이러한 특정 단체 문양이 사용된 랜섬웨어인 일명 ‘KKK랜섬웨어’가 발견되어 사용자의 주의가 필요하다. 해당 단체와 KKK랜섬웨어의 연관성은 확인되지 않았지만, 여타 랜섬웨어와 같이 파일 암호화 후 비트코인을 요구하며 페이스북 아이콘으로 위장하고 있어 파일명이 변경돼 유포될 경우 쉽게 감염될 것으로 보인다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	KKK.exe(임의의 파일명)
파일크기	296,960 Byte
악성동작	파일 암호화, 금전 요구

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일 등에서 유포된 것으로 추정된다.

2-3. 실행 과정

해당 랜섬웨어는 페이스북 아이콘으로 위장하고 있으며 파일의 설명 또한 ‘Facebook’ 으로 표기되어 있다. 이를 실행 하였을 때 파일 암호화가 진행된 후, ‘iexplore.exe’를 자동 실행하여 [그림 1]과 같은 화면을 사용자에게 보여준다. 

[그림 1] 랜섬웨어에 감염 된 사용자 바탕화면

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-256 알고리즘을 사용하여 암호화 한 뒤 ‘.KKK’ 라는 확장자를 덧붙인다. 

[그림 2] AES-256 암호화

[그림 3] 원본 파일 확장자에 ‘.KKK’ 덧붙이는 부분

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.

구분	내용
암호화 대상 파일 확장자	".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd", ".cmd", ".bat", ".kys", ".URL"

[표 1] 암호화 대상 확장자

[그림 4] 암호화 된 파일 확장자 및 랜섬노트

3-2. 금전 요구

파일 암호화가 완료되면 KKK랜섬웨어는 [그림 5]와 같이 암호화된 파일에 대하여 금전을 요구하는 실행파일을 띄운다.

해당 실행 파일에서는 ‘Payment’ 와 ‘Information’ 버튼이 있으며, 각각 지불요구와 경고메시지를 보여준다.

[그림 5] 지불 유도 정보 창

경고 메시지에서는 아래 [그림 6]과 같이 랜섬웨어에 감염되었음을 알려준다.

[그림 6] 감염 경고 메시지

‘KKK’ 랜섬웨어는 암호화 된 파일에 대해서 ‘0.05’ 비트코인을 요구하고 있으며, 지불할 의사가 있으면 ‘Check Payment’ 버튼을 클릭하여 다음 단계로 유도한다.

[그림 7] Bit Coin 지불 요구

그리고 ‘KKK’ 랜섬웨어는 사용자PC의 바탕화면에 .TXT 형식의 랜섬노트를 생성하여 파일이 암호화 되었음을 다시 한번 상기 시켜준다.

[그림 8] 텍스트 형식의 랜섬노트 생성

4. 결론

이번에 확인 하였던 ‘KKK’ 랜섬웨어는 암호화 수행만 할 뿐 그 외 부수적인 악성 동작이 확인되지 않았기에 여타 랜섬웨어과 비교하였을 때, 완성도가 높지 않은 것으로 보인다. 

하지만 완성도가 낮은 랜섬웨어라고 해도 랜섬웨어로 인한 피해 사례가 늘어나고 있으며, 해당 랜섬웨어는 사용자들에게 친숙한 페이스북을 위장하고 있어 각별한 주의가 필요하다. 따라서 페이스북과 같이 알려진 파일아이콘과 파일명을 가지고 있는 파일은 감염 예방을 위해 안티바이러스 검사로 다시 한번 확인하고 사용하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.