1. 개요
- 최근 웹을 통한 매트릭스(Matrix) 랜섬웨어 유포 정황이 확인됨에 따라 사용자 주의 권고
2. 내용
- 기사 요약
- 악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 "Drive by Download" 방식으로 국내에 유포
- Drive-by-Download : 웹페이지의 취약한 보안 상태를 이용해 악성코드를 심어 놓고 사용자가 웹페이지 접속 시 사용자 모르게 악성 프로그램을 다운로드하여 감염시키는 수법
- 매트릭스 랜섬웨어에 감염이 되면 불법사이트 접속으로 파일을 암호화했으니 벌금을 내라는 FBI 사칭 경고문과 함께 비트코인으로 몸값을 요구함
- 해외에서는 3월, 국내에서는 지난 4월부터 유포되는 것이 확인되었으며, 국내에 대규모로 유포된 것은 금번이 두번째로 확인됨
※ 하우리 백신사에서 국내 다수 이용자들이 해당 랜섬웨어에 감염되었다는 소식을 전하고 있으나 국내 사고 내역에 대한 실제 사례는 확인되지 않음 - 유포된 랜섬웨어는 기존과 다르게 파일 확장자를 변경하지 않는 것으로 확인
- MATRIX의 변형 과정 - 2017년 3월 Matrix 1차 변조 (.matrix)
- 2017년 4월 Matrix 2차 변조 (.b1010ckedl)
- 2017년 7월 Matrix 3차 변조 (확장자 변조 없음)
- 감염 경로
- 발신자가 불분명한 이메일 內 첨부파일 실행
- P2P를 이용한 파일 다운로드
- 다운로드 파일 실행 시 파일 內 숨겨진 매트릭스 랜섬웨어가 실행되며 감염
※ P2P : Peer to Peer의 약자로 인터넷에서 개인과 개인이 P2P 프로그램을 이용하여 직접 파일을 공유 - 보안이 취약한 웹페이지 접속
- TV 드라마/영화 등을 시청하는 스트리밍 사이트나 광고 팝업이 많은 취약한 뉴스, 블로그 사이트 접속을 통한 감염
- 증상 및 동작 원리
- 아래와 같은 파일 확장자를 암호화하여 정상 사용 불가
- 바탕화면을 포함한 모든 폴더에 랜섬노트(WhatHappenedWithMyFiles.rtf)를 생성하여 사용자가 이를 열람하고 비용을 지불하도록 유도
- 96시간 이내에 해커의 메일로 연락하지 않을 경우 파일 복구가 불가능하며 12시간마다 복구비용을 100$씩 올리겠다는 내용이 포함됨
- 컴퓨터가 새로 시작될 때마다 랜섬노트 프로세스(mshta.exe) 실행
.xls, .xlsx, .doc, .docx, .pdf, .txt, .jpg, .psd, .wav, .mp4, .mpg, .avi, .wmv 등 |
- 조치 방법
- [작업관리자] - [프로세스] 탭에서 mshta.exe.를 모두 종료
- C:\Users\Administrator\AppData\Roaming 폴더 내 감염 시기에 생성된 hta, ast, afn 파일들을 모두 삭제
- 시스테 복원 기능을 사용하여 암호화된 파일을 부분적으로 복원 가능
- 현재 100% 조치 및 복원은 불가능하며 포맷 권장
'IT > News' 카테고리의 다른 글
2017.08.08 CIA 해킹 툴 코드 Vault 7 (SSH 자격증명 정보 탈취) (0) | 2017.11.09 |
---|---|
2017.07.20 리커로커(LeakerLocker) 랜섬웨어 (0) | 2017.11.08 |
2017.06.15 호스팅업체 나야나 Erebus 랜섬웨어 감염 (0) | 2017.11.06 |
2017.05.14 SMB 취약점을 이용한 랜섬웨어(WannaCry) (0) | 2017.11.06 |
2017.04.05 군 인트라넷 해킹을 통한 작전계획 5027 유출 (0) | 2017.11.06 |