5억명이 사용하는 AVAST 안티바이러스 백신 자세히보기

Emsisoft 안티멀웨어

[Emsisoft] 이메일로 전파되는 무서운 문서파일, Jaff 랜섬웨어로 의심해 보아야

어베스트코리아 2017. 5. 17. 10:09

Emsisoft 안티멀웨어 연구진에 따르면, 워너랜섬웨어와 함께 최근 유포되는 랜섬웨어인 Jaff 랜섬웨어에 대한 주의가 필요할 것으로 보입니다. 




다른 랜섬웨어와 비슷하게 동작하지만 특히 주의할 점은 이메일에 포함된 문서 첨부파일입니다.  업무 상 자주 사용되는 PDF 파일와 워드파일이 이메일로 첨부되어 수신된다면 바로 파일을 열어보지 말고 바이러스 백신으로 먼저 검사 후 열어보아야 합니다. Jaff 랜섬웨어는 Necurs 봇넷을 통해 전세계로 전파되기 때문에 자동으로 폭넓게 확산될 수 있습니다.



Jaff 랜섬웨어에 대해 알아보면,


Jaff는 C로 작성되었으며 사용자 정의 악성코드 난독화를 사용하여 위장됩니다. Obfuscator는 멀웨어 작성자가 잠재적으로 여러 계층의 암호화 및 압축 아래에서 멀웨어를 숨겨서 분석을 어렵게 만드는 데 사용되는 도구입니다.


대부분의 ransomware 계열과 마찬가지로 Jaff는 .jaff 확장자를 추가하여 암호화 한 파일의 이름을 바꿉니다. 시스템을 감염시키면 각각 ReadMe.htm, ReadMe.txt 및 ReadMe.bmp라는 HTML 기반, 텍스트 기반 및 그림 기반 몸값 기록을 삭제합니다.  몸값은 2 비트코인으로 약 400백만원 가까운 엄청난 금액을 요구합니다.





사용자 들이 Jaff ransomware에 어떻게 감염될까요?


Jaff는 Necurs 다운로더 / 봇넷을 통해 전파됩니다. 이전에는 Necurs가 Dridex와 Locky를 배포하는 데 사용되어 많은 연구자들이 Jaff가 Locky ransomware의 진화된 종류의 랜섬웨어라고 믿게 되었습니다. 그러나 Locky와 Jaff를 모두 분석 한 결과 Jaff ransomware는 완전히 다른 좀 덜 정교한 ransomware 제품 군이라는 결론을 내릴 수 있습니다.


현재 Necurs는 다음 주제 중 하나를 사용하여 이메일을 통해 사용자를 타겟팅하고 있습니다.


Scan_ <숫자>

File_ <숫자>

PDF_ <numbers>

문서 _ <숫자>

복사 _ <숫자>


전자메일에는 PDF 문서가 첨부 파일로 포함되어 있으며 사용자에게 PDF 문서에 포함 된 DOCM (embedded document-macro) 파일을 열 것을 요청합니다. 즉 매크로를 포함한 MS워드 파일이 됩니다.



사용자가 DOCM 파일을 열면 문서를 제대로 볼 수 있도록 "이 문서는 보호되어 있음 (This Document is protected!)" 라는 메시지가 표시됩니다.



Necurs는 사회공학 기법을 사용하여 사용자가 매크로를 활성화하도록 유도합니다.



사용자가 "콘텐츠 사용" 버튼을 클릭하면 문서에 포함 된 악성 매크로가 활성화되어 실행을 시작합니다. 매크로는 명령 및 제어 서버에 접속하여 다양한 XOR 인코딩 된 실행 파일을 다운로드하여 사용자 시스템에서 디코드하고 실행합니다.



Jaff ransomware : 키 생성 및 암호화


Jaff는 RSA와 AES를 혼합하여 사용자의 데이터를 암호화합니다. 시스템에서 암호화를 용이하게하기 위해 Windows CryptoAPI가 사용됩니다. Jaff가 시스템에 도착하면 먼저 멀웨어 작성자의 공용 RSA 키를 가져옵니다. 맬웨어 작성자의 공용 RSA 키를 성공적으로 가져 오면 새 256 비트 AES 키를 만들어 멀웨어가 계속됩니다.


그런 다음 ransomware는 사용가능한 모든 드라이브와 네트워크 공유에서 다음 확장명 중 하나를 사용하여 파일을 검색합니다.


.xlsx, .acd, .pdf, .pfx, .crt, .der, .cad, .dwg, .MPEG, .rar, .veg, .zip, .txt, .jpg, .doc, .wbk, .mdb, .vcf, .docx, .ics, .vsc, .mdf, .dsr, .mdi, .msg, .xls, .ppt, .pps, .obd, .mpd, .dot, .xlt, .pot, .obt, .htm, .html, .mix, .pub, .vsd, .png, .ico, .rtf, .odt, .3dm, .3ds, .dxf, .max, .obj, .7z, .cbr, .deb, .gz, .rpm, .sitx, .tar, .tar.gz, .zipx, .aif, .iff, .m3u, .m4a, .mid, .key, .vib, .stl, .psd, .ova, .xmod, .wda, .prn, .zpf, .swm, .xml, .xlsm, .par, .tib, .waw, .001, .002, 003., .004, .005, .006, .007, .008, .009, .010, .contact, .dbx, .jnt, .mapimail, .oab, .ods, .ppsm, .pptm, .prf, .pst, .wab, .1cd, .3g2, .7ZIP, .accdb, .aoi, .asf, .asp., aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .fif, .flv, .idx, .js, .kwm, .laccdb, .idf, .lit, .mbx, .md, .mlb, .mov, .mp3, .mp4, .mpg, .pages, .php, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsx, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdt, .ach, .acr, .adb, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wp, .x11, .x3f, .xis, .ycbcra, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr, .srf, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pptx, .psafe3, .py, .qba, .qbr.myd, .ndd, .nef, .nk, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .ord, .otg, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw.des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erd, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .as4


워너 랜섬웨어와 달리 이 Jaff는 hwp 문서는 암호화 대상이 아니네요


이러한 확장자 중 하나와 일치하는 파일을 찾으면 맬웨어는 CBC 모드에서 256 비트 AES 키를 사용하여 처음 512KB까지 암호화합니다. 그런 다음 맬웨어 작성자의 공개 RSA 키를 사용하여 AES 키를 암호화하고 암호화 된 블록의 크기와 새 파일 내에 암호화 된 바이트를 함께 저장합니다. 마지막으로 암호화되지 않은 데이터를 파일에 추가합니다.


이 절차는 처음에는 복잡한 것처럼 보일 수 있지만 기본적으로 맬웨어 작성자는 명령 및 제어 서버 없이도 작동 할 수 있으므로 맬웨어는 감염되는 동안 말을해야하며이를 제거 할 수 있습니다. 이것은 Jaff가 인터넷 연결없이 파일을 암호화 할 수 있다는 것을 의미합니다.


유감스럽게도 Jaff가 암호화를 수행하는 방식을 평가 한 후에는 멀웨어 작성자의 개인 키에 액세스하지 않고 암호화 된 파일을 복원 할 수있는 방법이 없습니다. 그러나, ransomware 저자에 의한 약간의 감독으로 인해, 다른 수단을 통해 몇몇 파일을 복구하는 것이 가능할 수 있습니다.


Jaff ransomware에서 자신을 보호하려면 어떻게 해야합니까?

Jaff가 사용하는 암호화는 복구가 불가능하기 때문에 데이터를 다시 복구하는 유일한 방법은 ransomware 제작자에게 암호화 키를 구입하거나 또는 백업된 파일에서 복원하는 방법을 사용하는 것입니다. 그러나 해커에게 돈을 준다고 100% 복원될 확률은 적고 몸값 지불이 해당은 아니기 때문에 최상의 보호는 여전히 안정적이고 검증된 방법인 백업 전략입니다 .



또한 정기적인 백업 외에도,  Emsisoft Anti-Malware 및 Emsisoft Internet Security에서 사용하는 행동감시(Behavior Blocker) 기술이 차선책 일 수 있습니다. 


Emsisoft 안티멀웨어는 랜섬웨어 등의 악성코드에 탁월한 예방 기능을 갖고 있습니다. 


작성 : (주)소프트메일

http://www.emsisoft.co.kr