> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
상품화되는 서비스형 랜섬웨어…저렴한 가격으로 ‘호객’
체크멀 “기간별 패키지·다양한 옵션 등 공격자 구미 맞춘 상품 제공…라니언 랜섬웨어, 9개 언어 지원”
2018년 08월 22일 10:44:29 김선애 기자 iyamm@datanet.co.kr

서비스형 랜섬웨어(RaaS) 시장 경쟁이 치열해 지면서 저렴한 가격과 기간별 패키지 상품으로 고객(공격자)를 모집하고 있는 것으로 보인다.

체크멀(대표 김정훈)이 발견한 ‘라니언(Ranion)’ 랜섬웨어 1.09버전은 9개 언어를 지원하며, 백신과 같은 보안시스템을 우회하기 위한 지연 실행 및 코드 암호화, Mutex 생성, 작업 관리자 및 레지스트리 편집기 실행 차단, UAC 우회, 바탕 화면 배경 변경 등 다양한 옵션과 기능을 제공한다.

이 랜섬웨어는 다크넷 C&C 서버를 통해 운영되며, 감염되어 생성된 랜섬웨어 악성 파일은 윈도우 탐색기에서 보이지 않게 숨김 파일 속성으로 자가 복제한다. 파일 암호화가 완료되기 전 동작이 멈출 경우 재부팅 시 자동 실행하도록 등록한다. 가상환경에서 분석하는 APT 솔루션을 우회하기 위해 C&C 서버와의 통신 후 약 10분~20분이 경과하면 파일 암호화가 진행되는 지연 시작 방식을 취한다.

   

▲RaaS 패키지 상품

암호화된 파일은 .ransom 파일 확장명이 추가되며, 하드 디스크에 대한 암호화 후에는 네트워크 드라이브 영역까지 범위를 넓혀 피해를 입힌다. 결제 안내 파일이 생성되고, 7일 이내에 0.050 BTC 암호 화폐를 지불한 후 특정 메일로 연락하도록 안내한다.

​결제 안내 파일에는 영어, 러시아어, 독일어, 프랑스어, 스페인어, 이탈리아어, 네덜란드어, 아랍어, 중국어 메시지로 연결되는 부분이 포함되어 있다.

라니언 랜섬웨어는 한국어 메시지 파일은 생성하지 않지만 1년 6개월 이상 RaaS 방식으로 운영되고 있어 차후 버전 업데이트를 통해 공격 범위 및 기능이 확장될 것으로 예상된다.

체크멀 관계자는 “앱체크 안티랜섬웨어는 라니언 랜섬웨어에 의해 파일이 암호화될 경우 차단 및 일부 훼손된 파일에 대한 자동 복원을 지원하다”며 “라니언 랜섬웨어의 악의적 기능에 대해 주의해야 한다”고 당부했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  체크멀, 라니언, RaaS, 랜섬웨어, 서비스형 랜섬웨어
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr