상품화되는 서비스형 랜섬웨어…저렴한 가격으로 ‘호객’
상태바
상품화되는 서비스형 랜섬웨어…저렴한 가격으로 ‘호객’
  • 김선애 기자
  • 승인 2018.08.22 10:44
  • 댓글 0
이 기사를 공유합니다

체크멀 “기간별 패키지·다양한 옵션 등 공격자 구미 맞춘 상품 제공…라니언 랜섬웨어, 9개 언어 지원”

서비스형 랜섬웨어(RaaS) 시장 경쟁이 치열해 지면서 저렴한 가격과 기간별 패키지 상품으로 고객(공격자)를 모집하고 있는 것으로 보인다.

체크멀(대표 김정훈)이 발견한 ‘라니언(Ranion)’ 랜섬웨어 1.09버전은 9개 언어를 지원하며, 백신과 같은 보안시스템을 우회하기 위한 지연 실행 및 코드 암호화, Mutex 생성, 작업 관리자 및 레지스트리 편집기 실행 차단, UAC 우회, 바탕 화면 배경 변경 등 다양한 옵션과 기능을 제공한다.

이 랜섬웨어는 다크넷 C&C 서버를 통해 운영되며, 감염되어 생성된 랜섬웨어 악성 파일은 윈도우 탐색기에서 보이지 않게 숨김 파일 속성으로 자가 복제한다. 파일 암호화가 완료되기 전 동작이 멈출 경우 재부팅 시 자동 실행하도록 등록한다. 가상환경에서 분석하는 APT 솔루션을 우회하기 위해 C&C 서버와의 통신 후 약 10분~20분이 경과하면 파일 암호화가 진행되는 지연 시작 방식을 취한다.

▲RaaS 패키지 상품

암호화된 파일은 .ransom 파일 확장명이 추가되며, 하드 디스크에 대한 암호화 후에는 네트워크 드라이브 영역까지 범위를 넓혀 피해를 입힌다. 결제 안내 파일이 생성되고, 7일 이내에 0.050 BTC 암호 화폐를 지불한 후 특정 메일로 연락하도록 안내한다.

​결제 안내 파일에는 영어, 러시아어, 독일어, 프랑스어, 스페인어, 이탈리아어, 네덜란드어, 아랍어, 중국어 메시지로 연결되는 부분이 포함되어 있다.

라니언 랜섬웨어는 한국어 메시지 파일은 생성하지 않지만 1년 6개월 이상 RaaS 방식으로 운영되고 있어 차후 버전 업데이트를 통해 공격 범위 및 기능이 확장될 것으로 예상된다.

체크멀 관계자는 “앱체크 안티랜섬웨어는 라니언 랜섬웨어에 의해 파일이 암호화될 경우 차단 및 일부 훼손된 파일에 대한 자동 복원을 지원하다”며 “라니언 랜섬웨어의 악의적 기능에 대해 주의해야 한다”고 당부했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.