• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새롭게 등장한 배드래빗 랜섬웨어, 국내도 감염 주의보 발령! 2017.10.27

배드래빗 랜섬웨어, Flash Player 업데이트 위장해 DBD 방식으로 유포

[보안뉴스 김경애 기자] 최근 유럽 국가를 겨낭한 배드래빗(Bad Rabbit)이라는 새로운 랜섬웨어가 등장해 국내에서도 주의가 요구된다.

[이미지=안랩]


공격자는 배드래빗(Bad Rabbit) 랜섬웨어로 컴퓨터 파일을 암호화 한 뒤 해독키를 제공하는 대가로 금전을 요구한다.

최근 러시아, 우크라이나, 터키, 독일 등의 유럽 국가가 배드래빗 랜섬웨어 감염으로 언론사, 공항, 지하철 시스템 등의 피해가 발생했다.

이에 따라 국내 주요 백신사들도 해당 랜섬웨어를 분석해 백신에서 탐지되도록 업데이트 등록을 마쳤으며, 이용자에게는 배드래빗 랜섬웨어 주의와 함께 최신 버전으로 업데이트 할것을 당부했다.

이스트시큐리티에 따르면 배르래빗 랜섬웨어가 유포되고 있는 곳은 hxxp://1dnscontrol.com/index.php와 hxxp://1dnscontrol.com/flash_install.php로 분석됐다.

또한, 안랩은 유포방식에 대해 “배드래빗 랜섬웨어의 유포 방식은 DBD(Drive By Download)로 추정되며, 가장 상위의 드롭퍼는 Adobe Flash Player 설치파일로 위장하고 있다”며 “이외에도 Diskcoder 랜섬웨어는 [랜덤숫자].tmp파일을 생성하여 원격지 접속을 위한 계정정보 획득을 시도한다”고 밝혔다.

[이미지=하우리]


이어 하우리는 “위장된 Flash Player 업데이트가 실행될 경우 파일이 생성되며 생성된 파일은 AES 암호화 방식을 사용하여 파일을 암호화한다. 자격 증명 확인 후 SMB를 통해 네트워크로 확산시키며, MBR을 수정하여 감염된 사용자 컴퓨터가 부팅될 때 감염 사실을 알리고 비트코인 결제를 유도한다”고 설명했다.

[이미지=이스트시큐리티]


암호화되는 확장자는 3ds, 7z, accdb, ai, asm, asp, aspx, avhd, back, bak, bmp, brw, c, cab, cc, cer, cfg, conf, cpp, crt, cs, ctl, cxx, dbf, der, dib, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, hpp, hxx, iso, java, jfif, jpe, jpeg, jpg, js, kdbx, key, mail, mdb, msg, nrg, odc, odf, odg, odi, odm, odp, ods, odt, ora, ost, ova, ovf, p12, p7b, p7c, pdf, pem, pfx, php, pmf, png, ppt, pptx, ps1, pst, pvi, py, pyc, pyw, qcow, qcow2, rar, rb, rtf, scm, sln, sql, tar, tib, tif, tiff, vb, vbox, vbs, vcb, vdi, vfd, vhd, vhdx, vmc, vmdk, vmsd, vmtm, vmx, vsdx, vsv, work, xls, xlsx, xml, xvd, zip이라고 분석했다.

[이미지=멀웨어닷컴]


27일 멀웨어닷컴에 따르면 MAX AI에서는 2017년 10월 24일 13시 56분 38초(UTC 기준)에 최초 수집되어 악성코드로 식별하고 있다며 관련된 정보와 신규로 수집되는 정보는 CTA (Cyber Threat Alliance) 를 통해서 전세계 관련 기관에 공유되고 있다고 안내했다.

이에 따라 각 기관과 기업, 그리고 일반 사용자는 피해 예방을 위한 보안 강화 조치 등 주의가 필요하다.

한국인터넷진흥원은 다음과 같은 보안수칙을 안내하며 배드래빗 랜섬웨어에 대한 주의를 당부했다.

△윈도우 등 OS 및 사용 중인 프로그램의 최신버전으로 보안업데이트를 적용해야 한다.
△신뢰할 수 있는 백신을 최신버전으로 설치하고 정기적으로 검사를 진행해야 한다.
△불필요한 공유폴더 연결은 해제해야 한다.
△출처가 불분명한 메일 또는 링크를 실행하지 않도록 주의해야 한다.
△파일 공유사이트 등에서의 파일 다운로드 및 실행하지 않도록 주의해야 한다.
△중요 자료는 네트워크에서 분리된 저장장치에 별도로 저장해 관리해야 한다.
△이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고해야 한다.

랜섬웨어 피해 신고는 보호나라 홈페이지 – 상담 및 신고 – 해킹사고를 클릭해 접수하면 된다. 이와 관련해 좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>