스크랩 초여름 겨냥한 랜섬웨어? 직소(JigSaw) 랜섬웨어 재등장!

[산사랑]

초여름 겨냥한 랜섬웨어? 직소(JigSaw) 랜섬웨어 재등장!

AhnLab / ASEC대응팀 / 2017-06-21

한낮 기온이 30도에 육박하는 등 벌써 여름이 다가온 듯 하다. 매년 여름철이면 극장가의 상영 리스트는 공포물이 주를 이룬다. 그런데 사이버 공간에도 매년 공포물이 찾아오려는지 지난해에 이어 ‘직소(JigSaw) 랜섬웨어’가 또 다시 나타났다. 최근 언론을 통해 보도되기도 했던 직소 랜섬웨어에 대해 상세히 알알본다.

직소 랜섬웨어는 공포 영화 ‘쏘우(Saw)’에 등장했던 캐릭터 빌리 더 퍼펫 이미지를 사용하는 것이 특징이다. 해당 랜섬웨어는 [그림 1]과 같이 영화 ‘쏘우(Saw)’에 등장한 캐릭터인 빌리 더 퍼펫, 일명 ‘직소(Jigsaw)’의 이미지와 대사를 사용하기 때문에 직소 랜섬웨어라는 이름으로 불린다.

[그림 1] 직소(JigSaw) 랜섬웨어의 감염 화면

지난 2016년 유포된 직소 랜섬웨어가 파이어폭스(Firefox) 관련 프로그램으로 위장했던 반면, 최근 확산되고 있는 직소 랜섬웨어는 어도비 플래시 업데이트(Adobe Flash Update) 프로그램인 것처럼 위장, 배포되었다. [그림 2]와 같이 파일 이름이 Setup.exe로 되어 있어 사용자들이 설치 파일로 생각하기 쉽다. 이 Setup.exe 파일이 실행되면 adobeflash32.exe라는 파일을 생성한 후 레지스트리에 등록한다. 또한 생성된 adobeflash32.exe는 다른 파일을 암호화한다. 사용자가 무심코 이 파일을 실행하면 순식간에 랜섬웨어에 감염되는 것이다.

[그림 2] 업데이트 파일로 위장한 직소 랜섬웨어

이 Setup.exe 파일을 아주 자세히 살펴보면 일반적인 설치 파일과 조금 다르다는 것을 알 수 있다.  우선, 일반적인 설치 파일과 달리 관련 프로그램을 의미하는 아이콘이 없다. 또한, 파일 속성을 보면, 파일 설명은 Flash_update라고 되어 있지만 저작권 설명에는 ‘Firefox and Mozilla’로 되어 있다. 특히 이 저작권 설명에 표시된 문구는 지난해 배포된 직소 랜섬웨어가 파이어폭스 프로그램으로 위장하기 위해 사용했던 설명 문구 그대로다.

지난해 배포된 직소 랜섬웨어는 암호화된 파일의 확장자를 .fun으로 변경하고, 매 시간마다 암호화된 파일을 삭제하여 감염된 사용자들을 조급하게 만드는 기능까지 있었다. 그러나, 이번에 발견된 랜섬웨어는 암호화된 파일의 확장자를 .lost로 변경하고, 암호화된 파일 1개를 삭제한 이후에는 추가 동작이 발생하지 않는다. 이전과 달리 매 시간마다 암호화된 파일을 삭제하는 기능은 정상 동작하지 않는 것으로 보인다.

[그림 3] 직소 랜섬웨어 감염 화면(왼쪽)과 암호화 이후 변경된 확장자(오른쪽)

안랩 V3 제품군에서는 직소 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Ransom

이번에 발견된 랜섬웨어의 경우에는 사용자가 충분한 주의를 기울인다면 예방이 가능하다. 유명 프로그램의 업데이트 파일로 위장했지만, 파일 이름과 파일 아이콘을 주의 깊게 살펴보는 습관이 필요하다. 더 나아가 해당 파일의 디지털 서명이 있는지 확인하여 해당 프로그램의 제작사에서 정식 배포한 파일인지를 확인하면 랜섬웨어 피해 예방에 효과적이다.

무엇보다 랜섬웨어를 비롯한 악성코드 예방을 위해 가장 중요한 것은 사용자들의 보안에 대한 관심이다. 향후에도 프로그램의 업데이트 파일은 해당 프로그램의 제작사 홈페이지와 같은 공인된 페이지에서 다운로드하는 것이 중요하고, 인터넷에서 다운로드한 파일을 무분별하게 실행하기 전에 파일 속성 정보에서 제작사와 디지털 서명 정보 등을 확인하는 등의 관심이 필요하다.

[류해영]

반갑습니다. 글 잘 읽고 갑니다. 감사합니다.

[산사랑]

무더운 날씨에 수고하세요~~^^