정상 프로세스로 위장한 ‘비트페이머’ 랜섬웨어 변종 발견
상태바
정상 프로세스로 위장한 ‘비트페이머’ 랜섬웨어 변종 발견
  • 김선애 기자
  • 승인 2018.08.13 09:50
  • 댓글 0
이 기사를 공유합니다

체크멀 “보안 취약한 서버 대상 RDP 통해 감염시키는 것으로 추정…일부 백신은 탐지 못해”

기존 랜섬웨어와 다른 방식의 암호화를 진행하는 ‘비트페이머(BitPaymer)’ 랜섬웨어 변종이 발견됐다.

체크멀(대표 김정훈)에 따르면 비트페이머는 직접 암호화를 진행하지 않고 시스템에 등록된 서비스 파일 중 권한을 획득한 서비스 파일에 접근해 그 파일을 비트페이머 랜섬웨어 실행파일로 바꿔치기 한다.

이 랜섬웨어는 ADS 방식으로 파일을 생성하고 감염된 시스템에 등록된 임의의 서비스 파일을 자신으로 바꾼다. 이렇게 하면 외형적으로는 파일이 보이지 않고, 탐색기로 보면 0 바이트로 표시되어 데이터가 없는 것처럼 보이게 된다.

또한 서비스 동작 중 실패 시 2분마다 자동으로 재실행되도록 설정돼 있어 동작 중 차단될 경우 2분마다 재실행한다. 일부 서비스는 1분마다 재실행되도록 기본 설정돼 있다. 내부 네트워크로 연결된 ARP 서버 조회를 통해 네트워크 드라이브로 연결된 공유 폴더에 대한 파일 암호화도 진행될 수 있어 기업에서는 더욱 각별한 주의가 필요하다.

▲비트페이머 감염돼 암호화된 파일

비트페이머 랜섬웨어가 동작해도 마치 정상적인 서비스 파일이 실행되는 것으로 보이며, 정상적인 시스템 파일을 변경해 간혹 블루스크린이 발생하는 경우도 있다. 파일 암호화가 진행되면 문서, 사진, 압축 파일 등의 개인 파일은 .locked 파일 확장명이 추가되고 결제 안내 파일이 생성된다. 파일 복호화를 위해 이메일 주소를 안내하고, ​비트코인 주소는 공개하는 반면 요구하는 금액은 공개하지 않는다.

비트페이머의 감염 경로가 정확하게 파악된 것은 아니지만, 서버 환경을 표적으로 보안 설정이 취약한 원격 데스크톱 프로토콜(RDP)을 통해 감염 시키는 것으로 추정된다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.