중국 사이트 이용자 대상 랜섬웨어 기승

10만대 이상 중국pc가 랜섬웨어에 감염되다.

2018년 12월 4일 Supply-Chain-Attack[1] 으로 새로운 랜섬웨어가 중국 내 10만대 이상의 컴퓨터를 감염시켰다. 지금도 계속 확산되고 있으며 감염자가 지속적으로 증가하고 있다. 랜섬웨어란 컴퓨터 시스템을 감염시켜 접근을 제한하고 몸값을 요구하는 악성 소프트웨어이다.

[1] Supply-Chain-Attack이란 소프트웨어나 하드웨어 제조 단계에서 악성코드가 유입되어 공격하는 방식이다.


다른 랜섬웨어와는 무엇이 다를까?

기존 랜섬웨어와 다른 점은 암호화폐로 지불을 요구하지 않고 중국의 메시지 앱에서 제공하는 WeChat Pay를 이용한다는 점이다. 지불 금액은 110 위안(한화 약 17,800원)을 요구한다. 중국의 인터넷 사용자들만 목표로 하여 Alipay, Baidu, Taobao, Tmail, AliWangWang, Jing.com, QQ 등의 중국 내에서 많이 사용되는 인터넷 서비스들의 계정 비밀번호를 훔칠 수 있는 기능이 포함되어 있는 점도 주목해야 할 점이다.

랜섬웨어가 시스템을 공격하는 방법

중국의 백신회사인 Velvet Security에 따르면 프로그램 개발자들이 많이 사용하는 “Easy Language”라는 소프트웨어에 악성코드를 추가했다고 한다. 악성코드가 추가된 Easy Language는 다른 프로그램들에 랜섬웨어 코드를 주입하여 gif, exe, tmp 확장자와 특정 경로를 제외한 나머지 파일을 암호화한다.

특정 경로를 암호화하지 않는 이유는 백신 프로그램 방어 수단이다. 공격 중 백신 프로그램을 방어하기 위해 Tencent에서 발급한 신뢰할 수 있는 디지털 서명으로 악성코드를 인증한다. Tencent의 제품이나 관련된 Tencent Games, League of Legends, rtl과 같은 경로의 데이터는 암호화하지 않는 것으로 Tencent 제품인 것처럼 백신을 속이는 것이다.

암호화 한 이후 3일 이내에 공격자의 WeChat 계정에 110 위안을 지불하지 않으면 암호 해독 키를 자동 삭제하도록 한다. 암호화 외에도 인기있는 중국 웹사이트와 SNS의 계정 정보와 설치된 PC의 CPU 모델, 화면 해상도, 네트워크 정보, 설치된 소프트웨어 목록과 같은 시스템 정보를 수집해 원격 서버에 보낸다.

랜섬웨어, 해결되다

Velvet 보안팀은 랜섬웨어가 말하는 것처럼 사용자 파일이 DES 암호화 알고리즘을 사용하여 암호화하는 것이 아닌 XOR 알고리즘을 사용하여 암호화 한다는 것을 발견했다. 해독 키도 원격 서버가 아닌 사용자 컴퓨터 내부에 저장된다는 것도 알았다. User\AppData\Roaming\unname_1989\dataFile\appCfg.cfg에 해독 키의 사본이 저장된다.

Velvet 보안팀은 해독 키의 사본을 이용해 돈을 지불하지 않고 암호화 된 파일을 해독할 수 있도록 무료 랜섬웨어 암호 해독 도구를 배포했다. 공격자의 정보를 추적해 지휘 통제 서버와 MySQL 데이터베이스 서버를 해킹하여 수천개의 도난 된 자격 증명도 발견했다.

계정 추적 결과 QQ 계정, 핸드폰 번호, Alipay ID 등의 정보가 WeChat 계정과 일치하는 ‘Isy resource assistant’와 ‘LSY classic alarm v1.1’이라는 프로그램을 개발한 ‘Luo’라는 사람이 유력한 용의자로 꼽힌다. Velvet 측에선 중국 사법부가 추가 조사를 할 때 이용 가능한 모든 정보를 제공했다고 한다.

 만약 중국 사이트를 이용하다가 WeChat 계정으로 지불을 요구하는 랜섬웨어에 감염되었다면 Velvet 측에서 배포한 소프트웨어를 받아 암호화된 도구를 다운받아 암호화 된 파일들을 해독하도록 하자.

끝나지 않은 랜섬웨어의 위협

WannaCry 사태 이후 변종 랜섬웨어들이 지속적으로 등장하고 있다. 본 기사의 랜섬웨어는 중국 프로그램 이용자만 대상으로 했지만 전세계 사람들을 대상으로 한 랜섬웨어가 언제 등장할지 모른다. WannaCry를 비롯한 랜섬웨어는 이메일 첨부를 통한 방식이나 해킹된 웹사이트에 접속해야 감염되던 컴퓨터 바이러스들과는 다른 방식으로 전파될 수 있다. 자기 자신을 복제해 네트워크를 통해 전파되기 때문에 주의를 하고 있어도 막을 방법이 없는 것이다. Supply-Chain-Attack을 이용한 공격도 마찬가지로 방비할 수단이 없다. 한번 당하고 나면 이번 사태와 같이 복호화 방법을 백신 회사에서 만들어 주는 것을 기다리는 수밖에 없다.

랜섬웨어 제작 방식은 구글에 검색하면 간단히 나올 정도로 구하기 쉽다. 그만큼 변종이 나오기 쉬운 것이다. 암호화폐를 이용한 지불 방식은 공격자 추적이 어려워 같은 공격자에 의해 재발할 가능성도 높다. 언제 당신이 랜섬웨어의 타깃이 될 지 모른다. 중요한 정보는 USB 같은 곳에 네트워크로부터 분리하여 보관하고 주기적으로 웹사이트의 비밀번호를 바꾸도록 하자.

댓글
읽어들이는 중...