지본 랜섬웨어, 5월부터 500달러에 거래돼...이미 디크립터 나와
모든 파일 암호화...하지만 Windows 폴더 내 파일들은 안전

[보안뉴스 문가용 기자] 또 새로운 랜섬웨어 패밀리가 등장했다. 이름은 지본(GIBON)으로 시스템 내 모든 파일을 암호화한다. 단 Windows 폴더에 있는 파일만은 그대로 남긴다고 한다. 현재 지본 랜섬웨어는 지하 시장에서 500달러에 판매되고 있으며, 올해 5월부터 존재해왔던 것으로 보인다.


5월부터 존재해왔지만 지본 랜섬웨어가 보안 전문가들의 눈에 띈 건 비교적 최근의 이 ㄹ이다. 스팸 이메일을 통해 이 멀웨어가 퍼지는 것을 발견한 일부 전문가들이 지본을 분석하기 시작했고 지난 주에 디크립터를 발표했다. 하지만 아직 멀웨어가 어떤 방식으로 퍼져나가고 시스템을 감염시키는지는 정확하게 이해하지 못하고 있다.

지본은 기기에 침투에 성공하고 나면 C&C 서버와의 연결으르 시도한다. 그리고 새로운 피해자를 등록시키는데, 이 때 base64로 타임스탬프, 윈도우 버전 등의 정보가 담긴 스트링을 인코딩해서 전송한다. C&C가 새로운 피해자가 추가된 현황을 빠짐없이 파악할 수 있도록 하는 것.

그러련 C&C에서도 역시 뭔가를 보내온다. 마찬가지로 base64로 인코딩된 스트링인데, 여기에는 협박 문구에 사용될 정보들이 들어있다. 블리핑컴퓨터(BleepingComputer)의 로렌스 아브람즈(Lawrence Abrams)에 의하면 “이러한 방식으로 협박 편지를 유연하게 바꿀 수 있어, 수익을 이끌어내기에 더 유리하다”고 한다.

새로운 피해자에 대한 등록이 끝마쳐지면, 랜섬웨어는 암호화 키를 로컬에서 생성하기 시작한다. 그리고 그 키를 C&C 서버로 보낸다. 역시 base64로 엔코딩된 스트링 형태로 말이다. 이 키들은 컴퓨터 내에 있는 모든 파일을 암호화하는 데 사용되고, 암호화된 파일에는 .encrypt라는 확장자가 붙는다.

지본은 암호화 절차를 밟는 가운데 계속해서 서버에 핑을 보낸다. C&C에 ‘작업이 진행 중이다’라는 메시지를 전달하는 것이다. 암호화 과정이 끝나면 종료 메시지도 서버로 전송한다. 이 때는 메시지 내에 finish라는 문자열과 타임스탬프, 윈도우 버전, 암호화된 파일의 숫자 등의 정보가 포함된다.

지본은 암호화된 파일이 있는 폴더에마다 협박 편지를 가져다 놓는다. 피해자가 반드시 돈을 보낼 곳을 알게 하기 위함이다. 누가 공격을 가했는지, 어떻게 연락을 취했는지, 어떤 방식으로 이 문제를 해결할 수 있는지를 사용자가 알 수밖에 없도록 한 것인데, 자주 언급되는 메일 주소는 bomboms123@mail.ru와 subsidiary:yourfood20@mail.ru이다. 이 때문에 지본의 출처는 러시아 등지인 것으로 분석된다.

한편 지본 공격자들은 암호화에 사용되는 알고리즘이 RSA-2048이라고 주장하는데, 보안 전문가들은 이것이 잘못된 것이라고 말한다. RSA-2018 키가 사용되기 전에 또 다른 사이퍼가 사용된다는 것이 여태까지 분석된 내용이다. 혹시 지본에 걸린 지인이 있다면 다음 주소에서 디크립터를 다운로드 받는 게 가능하다.

디크립터 다운로드 주소 : https://download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>