무늬만 랜섬웨어? 랜섬웨어 감염된 것처럼 속이는 ‘이미테이션’ 악성 파일 주의!
안녕하세요. 이스트시큐리티입니다.
랜섬웨어에 감염된 것처럼 사용자를 속이는 ‘이미테이션(모방)’ 유형의 악성파일이 발견되어, 주의가 필요합니다.
▲ 페트야 랜섬웨어 ‘이미테이션 악성파일’ 실행 시 보여지는 안내 화면
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 새롭게 발견된 악성파일은 랜섬웨어에 감염된 것으로 착각할 수 있도록 정교하게 모방된 화면을 보여주지만, 실제로는 사용자 PC에 저장된 파일을 암호화하지는 않습니다.
하지만 사용자에게 보여지는 화면은 전 세계적으로 널리 알려진 페트야(Petya) 랜섬웨어 감염 화면과 동일하게 모방되어 있어, 대부분의 사용자가 이 랜섬웨어에 감염된 것으로 착각할 가능성이 큽니다.
▲ 파일 시스템을 수정 중인 것으로 위장된 화면
이번 악성파일이 실행되면 실제 페트야 랜섬웨어에 감염되었을 때와 흡사하게, 사용자의 하드디스크(HDD)에 문제가 발생해 파일 시스템(NTFS)을 수정하고 있는 것처럼 움직이는 화면을 보여줍니다.
특히 파일 시스템 수정이 실제로 진행되는 것처럼 진행률이 0%부터 100%까지 증가하도록 보여지기 때문에, 일반 사용자가 이 화면이 조작된 가짜라는 것을 알아채기는 매우 어렵습니다.
▲ 해골 이미지를 보여주는 화면
가짜 파일 시스템 검사가 100%까지 완료되면, 이어서 실제 페트야 랜섬웨어 감염 시 나타나는 해골 모양의 이미지와 함께 사용자의 입력을 대기하는 화면이 나타납니다.
이 화면에서 사용자가 키보드로 문자를 입력을 할 경우 페트야 랜섬웨어에 감염되었다는 가짜 안내 문구가 나타나며, 특정 브라우저(토르, Tor)로만 접근할 수 있는 다크웹 주소로 사용자가 접속하도록 유도합니다. 다만 ESRC의 분석 결과 안내되는 다크웹 주소는 과거 페트야 랜섬웨어 공격에서 사용된 동일한 주소지만, 현재 해당 주소로의 실제 접속은 이루어지지 않는 상태입니다.
이 밖에 ESRC는 이번 악성파일은 2017년 7월 10일 제작되었으며, 개발자가 사용 중인 운영체제는 ‘독일어’로 추정되고 있습니다.
이스트시큐리티는 한국인터넷진흥원(KISA)과 ‘랜섬웨어 정보수집 허브운영 협력 채널’을 통해 최신 정보를 실시간 공유함과 동시에, 국외 발생 신규 랜섬웨어의 국내 유입 전 사전차단에 긴밀한 공조 체제를 유지하고 있습니다.
현재 통합 백신 ‘알약(ALYac)’에서는 해당 악성파일을 탐지명 ‘Trojan.Ransom.PetyaScam’으로 진단 후 치료하고 있습니다.