[중요] '가짜' 원도우 업데이트로 위장한 랜섬웨어

흔히 원도우10 레드스톤 이라 불리는 원도우 10의 1주년 업데이트가 국내에서 시작되었다. 

이에 많은 사람들이 원도우 10을 업데이트 하고 있는 상황에 아주 위험한 바이러스가 출현하였다.

원도우 업데이트를 가장한 '가짜' 원도우 업그레이드 파일로 위장한 랜섬웨어가 나타났다.

<그림1> 원도우 업데이트로 가장한 랜섬웨어

그림을 보면, 현재 영어권 사용자를 타겟으로 진행되는 것으로 추정되는 가짜 윈도우 랜섬웨어가 발견됬다.

위와같이 위장한 랜섬웨어 파일을 실행하면 'WindowsUpdata.exe'라는 이름을 가진 파일이 시스템에 생성된 뒤 실행되며,

'중요한 윈도우 업데이트'라는 말과 함께 진짜와 구분하기 힘든 가짜 업데이트 화면이 나타난다.

업데이트가 진행되는 동안 랜섬웨어는 사용자 몰래 시스템 내 파일들을 암호화 한다. 최근 랜섬웨어들은 PC내의 파일뿐만 아니라 숨김파일, 백업본까지 암호화 한다. 파을 확장자 명은 '.famtom'이라는 문자를 추가한다고 안랩은 설명했다.

<그림 2> 랜섬웨어에 감염된 후의 바탕화면

위와 같이 바탕화면이 변한 후에, ‘DECRYPT_YOUR_FILES.HTML’라는 파일을 생성한 후, 유저에게 암호화된 파일을 복구하기 위한 안내를 해준다. 돈을 달라는 소리다

<그림 3>  볼륨 새도우 카피 (Volume Shadow Copy)를 삭제하는 장면

안내 후에, 추가로 생성된 ‘%APPDATA%\delback.bat’ 파일은 VSC(Volume Shadow Copy) 파일을 삭제한다.

그러면 시스템 복원이 안된다.  최후의 희망을 없앤다. 

최근에는 러시아의 유저들을 타겟으로 삼은것으로 추정되는 가짜 윈도우 업데이트 랜섬웨어도 출현했다. 

‘RAA 랜섬웨어’로 불리는 이 랜섬웨어는 DOC 문서 파일 형태로 유포됐다.

<그림 4> RAA 스크립트 (Java Script)가 포함된 랜섬웨어 DOC 문서이다.

위의 악성 DOC 파일이 실행되면 위의 그림과 처럼 러시아어로 ‘MS 오피스 워드의 최신 버전에서 만들어진 것으로, 문서를 보기 위해서는 공식 업데이트 패키지를 설치하세요’는 내용이 나타난다. 낚시의 시작

내용 하단에는 MS의 로고가 포함된 패키지 설치 버튼이 나타나면서 실행하도록 유도한다.

해당 해키지를 실행하면 공격자가 삽입한 스크립트(Java Script, JS)가 실행된다.  요놈! 월척이로구나

스크립트에는 다음과 같은 명령 코드가 삽입되어 있다.

1. 내 문서 폴더에 스크립트를 복제하라 - dfsdb.js

2. 특정 문자열이 포함된 확장자 파일을 암호화 해라

(.doc .xls .pdf .dbf .jpg .dwg .cdr .psd .cd .mdb .pag .zip .rar .csv .docm .docx .xlsx 등)

3. base64로 인코딩된 데이터(랜섬노트 및 실행파일)를 복호화 후 생성

4. 특정 URL로 접근해라

스크립트로 생성된 실행파일은 특정 네트워크로 연결은 시도한다.

그러나 안랩에서 분석 할 때에는 해당 서버로 연결되지 않아 아직은 미확인 상태이다.

<그림 5> RAA 랜섬웨어에 감염되면 나타나는 메세지

 이번 랜섬웨어는 현재 영어와 러시아어로 만들어져 한국을 대상으로 만들어진 것같지는 않지만, 언제든지 변종이 국내로 퍼질 수 있지에 주의하는것이 좋다.

특히, 사용 중인 운영체제 및 프로그램의 최신 버전 업데이트는 반드시 공식 사이트나 정품 소프트웨에서 하는것이 가장 안전하고 바람직하다.

지금 V3에서는 위의 랜섬웨어를 아래와 같은 이름으로 탐지하고 있다.

• Trojan/Win32.Tear (2016.08.26.03)
• DOC/Downloader (2016.09.01.00)
• JS/Downloader (2016.09.01.00)
• Trojan/Win32.Upbot (2016.08.30.03)​