> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
정상 프로세스로 위장한 ‘비트페이머’ 랜섬웨어 변종 발견
체크멀 “보안 취약한 서버 대상 RDP 통해 감염시키는 것으로 추정…일부 백신은 탐지 못해”
2018년 08월 13일 09:50:27 김선애 기자 iyamm@datanet.co.kr

기존 랜섬웨어와 다른 방식의 암호화를 진행하는 ‘비트페이머(BitPaymer)’ 랜섬웨어 변종이 발견됐다.

체크멀(대표 김정훈)에 따르면 비트페이머는 직접 암호화를 진행하지 않고 시스템에 등록된 서비스 파일 중 권한을 획득한 서비스 파일에 접근해 그 파일을 비트페이머 랜섬웨어 실행파일로 바꿔치기 한다.

이 랜섬웨어는 ADS 방식으로 파일을 생성하고 감염된 시스템에 등록된 임의의 서비스 파일을 자신으로 바꾼다. 이렇게 하면 외형적으로는 파일이 보이지 않고, 탐색기로 보면 0 바이트로 표시되어 데이터가 없는 것처럼 보이게 된다.

또한 서비스 동작 중 실패 시 2분마다 자동으로 재실행되도록 설정돼 있어 동작 중 차단될 경우 2분마다 재실행한다. 일부 서비스는 1분마다 재실행되도록 기본 설정돼 있다. 내부 네트워크로 연결된 ARP 서버 조회를 통해 네트워크 드라이브로 연결된 공유 폴더에 대한 파일 암호화도 진행될 수 있어 기업에서는 더욱 각별한 주의가 필요하다.

   

▲비트페이머 감염돼 암호화된 파일

비트페이머 랜섬웨어가 동작해도 마치 정상적인 서비스 파일이 실행되는 것으로 보이며, 정상적인 시스템 파일을 변경해 간혹 블루스크린이 발생하는 경우도 있다. 파일 암호화가 진행되면 문서, 사진, 압축 파일 등의 개인 파일은 .locked 파일 확장명이 추가되고 결제 안내 파일이 생성된다. 파일 복호화를 위해 이메일 주소를 안내하고, ​비트코인 주소는 공개하는 반면 요구하는 금액은 공개하지 않는다.

비트페이머의 감염 경로가 정확하게 파악된 것은 아니지만, 서버 환경을 표적으로 보안 설정이 취약한 원격 데스크톱 프로토콜(RDP)을 통해 감염 시키는 것으로 추정된다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  비트페이머, 체크멀, 암호화, 랜섬웨어
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr