분석 정보/랜섬웨어 분석 정보

퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견

TACHYON & ISARC 2011. 2. 15. 16:21

1. 개 요

 

사용자의 파일 등을 볼모로 금전적 이득을 노리는 Ransomware의 변종이 끊임없이 유포되고 있다. 이러한 가운데 최근 퀵타임 플레이어(QuickTime Player)로 위장한 Ransomware가 출현하여 주의가 필요한 상황이다. Ransomware는 현재 국내에서 특별한 피해사례는 보고되고 있지 않지만, 중요 기관 및 기업체 등의 시스템이 감염될 경우 심각한 금전적 피해가 발생할 수 있는 만큼 Ransomware에 대한 보다 높은 관심이 필요한 시점이다.

 

참고 : Ransomware 변종의 지속적인 출현과 예방 조치 방법
http://erteam.nprotect.com/112

참고 : Ransomware 변종의 지속적 출현
http://erteam.nprotect.com/110

2. 감염 경로 및 증상

기존에 발견된 Ransomware가 PornoPlayer 와 같이 Anti-Virus가 아닌 다른 의미의 AV 영상물처럼 파일명을 위장했다면, 이번에 발견된 Ransomware는 아래의 그림과 같이

퀵타임 플레이어로 위장

했다는 점이 특징이다.

또한, 아래의 그림과 같이 해외 백신 업체인 "Avira"와 관련된 디지털 서명을 사용한 점도 확인할 수 있다.

해당 Ransomware는 각종 취약점을 통해 변조된 웹 페이지에 삽입되어 유포되거나 이메일의 첨부 파일을 통해 유포될 수 있다. 또한, 메신저 혹은 SNS에 게재되어 있는 링크 등을 통한 유포도 가능하다. 

여러 유포 경로를 통해 다운로드가 가능한 해당 Ransomware는 퀵타임 플레이어와 유사한 아이콘 및 파일명을 가지고 있어 일반 사용자들의 경우 쉽게 현혹될 수 있다. 

해당 Ransomware에 감염되면 아래의 그림과 같은 창을 보여주게 되며, 마우스를 통한 숫자 입력 외에 일체의 PC 사용이 불가능하게 된다.

추가적으로 위 그림과 같이 Ransomware가 러시아어를 이용해 구성된 점으로 미루어 보아 러시아 및 러시아어를 사용하는 사람들을 대상으로 제작되었음을 추정할 수 있다.

3. 예방 조치 방법

보통 Ransomware는 감염된 사람들의 파일 등을 볼모로 해 금전적 이득을 취할 목적으로 제작된다. 감염될 경우 PC 사용에 엄청난 제한을 받게 되며, 해당 상태를 해제할 암호키가 있어야만 원래의 상태로 PC를 되돌릴 수 있다. 때문에 해외에서는 암호키를 얻기 위해 제작자에게 일정 금액을 대가로 치르고 암호키를 받거나 PC를 포멧하는 방법을 통해 해당 문제를 해결하는 것으로 알려졌다.

 

위의 두 가지 방법 모두 사용자 입장에서는 피해를 입을 수 밖에 없는 상황이므로 사용자들은 해당 악성파일에 감염되지 않기 위해 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치의 주기적 수행, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하고 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용, ▶출처가 불분명한 메일의 열람이나, 첨부 파일에 대한 다운로드 자제, ▶메신저와 SNS를 통한 링크 접근 주의 등의 대비책을 세워두는 것이 무엇보다 중요하다.

※ 잉카인터넷 대응팀에서는 이러한 보안 위협에 대비하기 위해 24시간 지속적인 관제 대응체계를 유지하고 있으며, 해당 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있다.