파워쉘에 악의적인 스크립트 명령어 입력하는 파워웨어 랜섬웨어 발견
[보안뉴스 김경애] 윈도우(Windows) 운영체제에는 시스템 관리용 스크립트 언어를 처리할 수 있는 윈도우 파워쉘(PowerShell)이 기본적으로 장착되어 있다. 이러한 가운데 최근 파워쉘을 호출해 파일을 암호화하는 파워웨어(PowerWare) 랜섬웨어가 발견돼 이용자들의 주의가 요구된다.
▲출처: 울지않는벌새 블로그
파워웨어는 이메일을 통해 유포되며, 첨부된 MS Word 문서(.doc)를 제대로 표시하기 위해 추가적으로 매크로 실행을 유도해 감염시킨다. 특히, 매크로 기능을 통해 실행파일 없이 파일을 암호화하는 것이 특징이다.
이에 대해 보안전문 파워블로거 울지않는벌새는 “기존 랜섬웨어는 감염시 악성 실행파일(.exe)을 생성해 파일 암호화를 진행한다면 파워웨어 랜섬웨어는 파워쉘에 악의적인 스크립트 명령어를 입력해 랜섬웨어 행위를 수행한다”고 밝혔다.
사용자가 매크로 실행을 허용할 경우 내부에 포함된 VBS 스크립트 명령에 따라 윈도우 파워쉘 기본 정책을 우회해 외부 특정 서버로부터 스크립트 파일을 다운로드한다. 실제 동작하는 프로세스를 확인해보면 MS Word 프로그램(WINWORD.EXE)이 Windows PowerShell 도구(powershell.exe)를 호출하고, 암호화를 진행한다.
임시 폴더에 생성된 Y.ps1 악성 스크립트에는 파일 암호화 방식, 암호화 대상 파일 확장명 등의 정보가 포함되어 있으며, 다른 랜섬웨어와는 다르게 제외 폴더 없이 파일을 암호화한다.
▲출처: 울지않는벌새 블로그
파일 암호화가 이루어진 각 폴더에는 돈을 요구하는 협박 메시지 파일이 생성되며, 파일명과 확장명은 바뀌지 않지만 파일이 암호화되어 열리지 않는다.
특히, 과도한 파일 암호화 행위로 인해 크롬 웹브라우저 실행시 ‘Unable to find locale data files. Please reinstall.’ 오류 메시지가 생성되는 등 정상적인 일부 소프트웨어 실행에 문제를 유발할 수 있다.
▲출처: 울지않는벌새 블로그
돈을 요구하는 협박 메시지는 기존의 크립토월(CryptoWall) 랜섬웨어와 유사한 방식이며, 지정한 웹사이트 접속을 통해 감염자에게 부여된 값(#UUID)을 입력하도록 안내하고 있다. 또한, 결제 페이지에서는 또 다른 광고 배너까지 포함하고 있으며, 자신의 신뢰도를 위해 1MB 이하의 파일에 대해 복호화 서비스도 제공한다.
하지만 무료 복호화 방식은 SendSpace 서버에 파일을 업로드해 제출하는 방식이며, 12시간 이내에 이메일로 전달된다는 점에서 정보 유출 가능성이 있다는 지적이다.
따라서 이용자는 파일리스(Fileless) 방식의 파일 암호화 행위 차단이 가능한 랜섬웨어 백신을 사용하고, 메일을 통해 수신된 MS Word 문서에서 매크로(Macro)를 실행하지 않도록 주의해야 한다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 윈도우(Windows) 운영체제에는 시스템 관리용 스크립트 언어를 처리할 수 있는 윈도우 파워쉘(PowerShell)이 기본적으로 장착되어 있다. 이러한 가운데 최근 파워쉘을 호출해 파일을 암호화하는 파워웨어(PowerWare) 랜섬웨어가 발견돼 이용자들의 주의가 요구된다.
▲출처: 울지않는벌새 블로그
파워웨어는 이메일을 통해 유포되며, 첨부된 MS Word 문서(.doc)를 제대로 표시하기 위해 추가적으로 매크로 실행을 유도해 감염시킨다. 특히, 매크로 기능을 통해 실행파일 없이 파일을 암호화하는 것이 특징이다.
이에 대해 보안전문 파워블로거 울지않는벌새는 “기존 랜섬웨어는 감염시 악성 실행파일(.exe)을 생성해 파일 암호화를 진행한다면 파워웨어 랜섬웨어는 파워쉘에 악의적인 스크립트 명령어를 입력해 랜섬웨어 행위를 수행한다”고 밝혔다.
사용자가 매크로 실행을 허용할 경우 내부에 포함된 VBS 스크립트 명령에 따라 윈도우 파워쉘 기본 정책을 우회해 외부 특정 서버로부터 스크립트 파일을 다운로드한다. 실제 동작하는 프로세스를 확인해보면 MS Word 프로그램(WINWORD.EXE)이 Windows PowerShell 도구(powershell.exe)를 호출하고, 암호화를 진행한다.
임시 폴더에 생성된 Y.ps1 악성 스크립트에는 파일 암호화 방식, 암호화 대상 파일 확장명 등의 정보가 포함되어 있으며, 다른 랜섬웨어와는 다르게 제외 폴더 없이 파일을 암호화한다.
▲출처: 울지않는벌새 블로그
파일 암호화가 이루어진 각 폴더에는 돈을 요구하는 협박 메시지 파일이 생성되며, 파일명과 확장명은 바뀌지 않지만 파일이 암호화되어 열리지 않는다.
특히, 과도한 파일 암호화 행위로 인해 크롬 웹브라우저 실행시 ‘Unable to find locale data files. Please reinstall.’ 오류 메시지가 생성되는 등 정상적인 일부 소프트웨어 실행에 문제를 유발할 수 있다.
▲출처: 울지않는벌새 블로그
돈을 요구하는 협박 메시지는 기존의 크립토월(CryptoWall) 랜섬웨어와 유사한 방식이며, 지정한 웹사이트 접속을 통해 감염자에게 부여된 값(#UUID)을 입력하도록 안내하고 있다. 또한, 결제 페이지에서는 또 다른 광고 배너까지 포함하고 있으며, 자신의 신뢰도를 위해 1MB 이하의 파일에 대해 복호화 서비스도 제공한다.
하지만 무료 복호화 방식은 SendSpace 서버에 파일을 업로드해 제출하는 방식이며, 12시간 이내에 이메일로 전달된다는 점에서 정보 유출 가능성이 있다는 지적이다.
따라서 이용자는 파일리스(Fileless) 방식의 파일 암호화 행위 차단이 가능한 랜섬웨어 백신을 사용하고, 메일을 통해 수신된 MS Word 문서에서 매크로(Macro)를 실행하지 않도록 주의해야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
