일반인들에게 생소한 날짜 계산 문제 내고 10분 제한 시간
랜섬웨어로 가장되어 있지만 본질은 파괴 위한 멀웨어
[보안뉴스 문가용 기자] 시간 제한 기능을 가지고 피해자를 압박하는 랜섬웨어가 등장했다. 10분 안에 제대로 된 코드를 입력하지 못할 경우, 하드드라이브에 있는 파일들을 지운다고 한다.
[이미지 = iclickart]
이는 멀웨어 분석 업체인 멀웨어헌터팀(MalwareHunterTeam)이 발견한 것으로, 랜섬웨어가 실행되는 동안 옛 소련의 국가가 재생된다는 특징과 시스템 내 폴더로 자가 복제하며 stalin.exe라는 이름을 붙인다는 점 때문에 ‘스탈린락커(StalinLocker)’라고 이름을 붙였다. 오토런 파일도 생성하는데, 역시 이름이 스탈린(Stalin)이기도 하다. 이러한 복제 파일과 소련 국가 mp3 파일은 전부 %UserProfile%\AppData\Local 폴더에 저장된다.
이 폴더 내에는 fl.dat라는 파일도 생성된다. 피해자가 특정 코드를 입력하도록 주어진 시간을, 시스템이 재부팅 될 때마다 단축시키는 기능을 가지고 있다. 드라이버 업데이트(Driver Update)라는 이름으로 예약된 작업을 생성하기도 하는데, 이것의 기능은 결국 Stalin.exe 파일을 실행시키는 것이라고 한다.
스탈린락커에 감염되면 잠금 화면이 뜨고, 10분의 시간이 표시된다. 그리고 이 시간은 카운트다운 형식으로 계속해서 줄어든다. 피해자는 이 시간 내에 코드를 입력해야 하는데, 현재 날짜에서 1922년 12월 30일이라는 숫자를 빼서 나온 값이 코드가 된다. 올바른 계산을 통해 맞는 값이 입력되면 스탈린락커 잠금 화면이 해제되고 오토런 파일이 삭제된다.
하지만 10분이라는 시간을 넘기면 컴퓨터 내 모든 드라이브에 저장된 파일들을 전부 삭제한다. 멀웨어헌터팀에 의하면 “랜섬웨어이지만 돈을 요구하거나 공격자에게 연락할 방법이 제시되어 있지도 않다”고 한다. “게다가 기존 랜섬웨어나 기타 멀웨어에서부터 파생된 변종도 아닙니다. 적어도 저희는 처음 본 종류의 멀웨어였습니다.”
그러면서 “만약 스탈린락커에 걸렸다면 재빨리 컴퓨터를 끄고 전문가에게 문의하는 것이 최고의 방법”이라고 제안했다.
보안 업체 이셋(ESET)의 마크 제임스(Mark James)는 해외 매체와의 인터뷰를 통해 “랜섬웨어인 것처럼 포장되어 있지만 실제로는 파괴형 멀웨어”라며 “순수 파괴와 피해를 목적으로 만들어지고 실행되는 것”이라고 설명한다.
“일반적인 사용자들에게 있어 현재 날짜에서 특정 날짜를 빼는 계산이 그리 쉬운 건 아닙니다. 기념일 계산하는 것도 아니고 말이죠. 그러므로 높은 확률로 데이터가 파괴될 가능성이 높아요. 공격자들도 그런 파괴 행위를 그저 즐기려고 이런 멀웨어를 만든 것으로 보이고요.” 또한 소련과 스탈린을 강조함으로서 러시아에 좋지 않은 이목을 집중시키려는 목적도 있는 것으로 보인다고 그는 설명한다.
보안 업체 에얼리언볼트(AlienVault)의 자바드 말릭(Javvad Malik)은 “작년에도 비슷한 사례가 있었다”며 “렌젠웨어(rensenWare)라는 멀웨어가 나타나 사용자가 어떤 게임에서 높은 점수를 얻으면 잠금을 해제했었다”고 말한다. 그러면서 “돈을 요구하지 않아도 피해가 없는 건 아니”라고 설명을 잇는다.
“공격자가 당장의 금전적인 이득을 보는 유형의 공격은 분명 아닙니다. 하지만 피해자 입장에서 크게 다르지 않아요. 데이터를 잃는 게 돈보다 더 큰 손실일 때도 많고요. 그러니 기업이나 조직들은 이런 식의 장난 같은 공격이라도 웃어 넘기는 게 아니라, 기존의 심각한 멀웨어와 똑같이 다뤄야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
랜섬웨어로 가장되어 있지만 본질은 파괴 위한 멀웨어
[보안뉴스 문가용 기자] 시간 제한 기능을 가지고 피해자를 압박하는 랜섬웨어가 등장했다. 10분 안에 제대로 된 코드를 입력하지 못할 경우, 하드드라이브에 있는 파일들을 지운다고 한다.
[이미지 = iclickart]
이는 멀웨어 분석 업체인 멀웨어헌터팀(MalwareHunterTeam)이 발견한 것으로, 랜섬웨어가 실행되는 동안 옛 소련의 국가가 재생된다는 특징과 시스템 내 폴더로 자가 복제하며 stalin.exe라는 이름을 붙인다는 점 때문에 ‘스탈린락커(StalinLocker)’라고 이름을 붙였다. 오토런 파일도 생성하는데, 역시 이름이 스탈린(Stalin)이기도 하다. 이러한 복제 파일과 소련 국가 mp3 파일은 전부 %UserProfile%\AppData\Local 폴더에 저장된다.
이 폴더 내에는 fl.dat라는 파일도 생성된다. 피해자가 특정 코드를 입력하도록 주어진 시간을, 시스템이 재부팅 될 때마다 단축시키는 기능을 가지고 있다. 드라이버 업데이트(Driver Update)라는 이름으로 예약된 작업을 생성하기도 하는데, 이것의 기능은 결국 Stalin.exe 파일을 실행시키는 것이라고 한다.
스탈린락커에 감염되면 잠금 화면이 뜨고, 10분의 시간이 표시된다. 그리고 이 시간은 카운트다운 형식으로 계속해서 줄어든다. 피해자는 이 시간 내에 코드를 입력해야 하는데, 현재 날짜에서 1922년 12월 30일이라는 숫자를 빼서 나온 값이 코드가 된다. 올바른 계산을 통해 맞는 값이 입력되면 스탈린락커 잠금 화면이 해제되고 오토런 파일이 삭제된다.
하지만 10분이라는 시간을 넘기면 컴퓨터 내 모든 드라이브에 저장된 파일들을 전부 삭제한다. 멀웨어헌터팀에 의하면 “랜섬웨어이지만 돈을 요구하거나 공격자에게 연락할 방법이 제시되어 있지도 않다”고 한다. “게다가 기존 랜섬웨어나 기타 멀웨어에서부터 파생된 변종도 아닙니다. 적어도 저희는 처음 본 종류의 멀웨어였습니다.”
그러면서 “만약 스탈린락커에 걸렸다면 재빨리 컴퓨터를 끄고 전문가에게 문의하는 것이 최고의 방법”이라고 제안했다.
보안 업체 이셋(ESET)의 마크 제임스(Mark James)는 해외 매체와의 인터뷰를 통해 “랜섬웨어인 것처럼 포장되어 있지만 실제로는 파괴형 멀웨어”라며 “순수 파괴와 피해를 목적으로 만들어지고 실행되는 것”이라고 설명한다.
“일반적인 사용자들에게 있어 현재 날짜에서 특정 날짜를 빼는 계산이 그리 쉬운 건 아닙니다. 기념일 계산하는 것도 아니고 말이죠. 그러므로 높은 확률로 데이터가 파괴될 가능성이 높아요. 공격자들도 그런 파괴 행위를 그저 즐기려고 이런 멀웨어를 만든 것으로 보이고요.” 또한 소련과 스탈린을 강조함으로서 러시아에 좋지 않은 이목을 집중시키려는 목적도 있는 것으로 보인다고 그는 설명한다.
보안 업체 에얼리언볼트(AlienVault)의 자바드 말릭(Javvad Malik)은 “작년에도 비슷한 사례가 있었다”며 “렌젠웨어(rensenWare)라는 멀웨어가 나타나 사용자가 어떤 게임에서 높은 점수를 얻으면 잠금을 해제했었다”고 말한다. 그러면서 “돈을 요구하지 않아도 피해가 없는 건 아니”라고 설명을 잇는다.
“공격자가 당장의 금전적인 이득을 보는 유형의 공격은 분명 아닙니다. 하지만 피해자 입장에서 크게 다르지 않아요. 데이터를 잃는 게 돈보다 더 큰 손실일 때도 많고요. 그러니 기업이나 조직들은 이런 식의 장난 같은 공격이라도 웃어 넘기는 게 아니라, 기존의 심각한 멀웨어와 똑같이 다뤄야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
