암호화된 파일에 영문으로 ‘주체’, ‘평양’ 단어 있는 매트릭스 랜섬웨어 변종 발견
공격자 추정의 11개 메일주소 포착...여기에도 영문으로 ‘주체’, ‘평양’ 단어 포함
지난 27일 매트릭스 랜섬웨어 변종 유포...유포시점은 약 1주일 전후로 유포

[보안뉴스 김경애 기자] 암호화된 파일에 영문으로 주체(juche), 평양(pyongyang) 등의 단어가 포함된 매트릭스(Matrix)’ 랜섬웨어 변종이 발견돼 이용자들의 주의가 요구된다.


지난 27일 보안전문 파워블로거 벌새에 따르면 “웹 사이트 접속시 취약점으로 뿌리는 매트릭스 랜섬웨어 변종이 국내에서 확인됐다”며 “암호화된 파일에 ‘평양’이라는 북한을 지칭하는 문구가 있으며, 약 1주일 전후로 유포되기 시작한 것으로 보인다”고 분석했다.

같은 날 보안업체 하우리 역시 매트릭스 랜섬웨어가 국내에 유포되고 있다며 주의를 당부했다. 이번에 유포된 매트릭스 랜섬웨어는 지난 5월과 7월에 이어 또 다시 출현해 피해를 확산시키고 있어 더욱 주의가 필요하다.

매트릭스 랜섬웨어 유포방법은 악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 유포되고 있으며, 유포 공격도구인 ‘선다운(Sundown)’ 익스플로잇킷(Exploit Kit)을 통해 피해를 확산시키고 있다.


하우리에 따르면 해당 랜섬웨어는 %TEMP% 경로와 %AppData%\[랜덤명폴더] 경로에 자가 복제한 후 실행한다. 또한 파일 암호화가 완료되면 배치파일이 이용돼 원본 랜섬웨어 파일과 자가복제 랜섬웨어 파일이 삭제된다. 이어 각 폴더에 RTF 파일이 생성되며 감염 사실을 이용자에게 알린다고 하우리는 분석했다.

특히 이번에 유포된 매트릭스 랜섬웨어는 이전과는 다른 양상을 띄고 있어 주목되고 있다. 지난 7월에 유포된 매크릭스의 경우 ‘불법 사이트에 접속했으니 벌금을 내놓으라’는 내용이었던다면, 이번에는 ‘파일이 암호화 되었으니 복호화를 원하면 이메일을 보내라’는 내용만 포함돼 있다.


또다른 차이점은 사용자의 주요 파일을 감염시키고, 확장자를 변경하지 않는다는 점에서는 지난 7월과 동일한 반면, 이번에는 바탕화면 내용과 감염 사실을 알리는데 쓰이는 RTF 파일명이 변경됐다.


이 뿐만이 아니다. 또 한가지 특이한 건 암호화된 파일과 해커의 이메일 주소에 영문으로 ‘주체(juche)’, ‘평양(pyongyang)’ 등의 단어가 포함됐다는 것이다. 공격자는 ‘juche’라는 계정의 Yahoo, Tutanota 메일 주소를 제시하며 사용자에게 복호화를 원하면 자신에게 메일을 보낼 것을 요구하고 있다.

현재까지 하우리에서 분석한 매트릭스 랜섬웨어를 유포한 해커 이메일 주소는 다음과 같으며, 이중 영문으로 ‘주체(juche)’와 ‘평양(pyongyang)’이란 단어가 표함돼 있다.
△bluetablet9643@yandex.ru △matrix9643@yahoo.com
△redtablet9643@yahoo.com △decodedecode@yandex.ru
△restoreassistant@yandex.com △noliberty9643@yahoo.com
△thematrixhasyou9643@yahoo.com △cremreihanob1979@yandex.ru
△pyongyang001@yahoo.com △bl4ckdr4gon@tutanota.com
△juche001@yahoo.com

또한 랜섬웨어의 제작 언어 환경은 러시아어를 기반으로 하고 있는 것으로 분석됐다. 이에 따라 매트릭스 랜섬웨어를 유포한 해커 정체에 대해서도 주목되며 관심이 모아지고 있으며, 사용된 IP나 공격자에 대한 분석은 추가적으로 이뤄져야 할 것으로 보인다.

이처럼 최근 조용했던 매트릭스 랜섬웨어가 국내에 다시 유포되고 있는 만큼 이용자들은 랜섬웨어에 감염되지 않도록 백신과 소프트웨어, OS와 같은 운영체제 등을 항상 최신 버전으로 업데이트해 유지해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>