2017.07.13 매트릭스 랜섬웨어 감염

1. 개요

• 최근 웹을 통한 매트릭스(Matrix) 랜섬웨어 유포 정황이 확인됨에 따라 사용자 주의 권고

2. 내용

• 기사 요약

• 악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 "Drive by Download" 방식으로 국내에 유포
• Drive-by-Download : 웹페이지의 취약한 보안 상태를 이용해 악성코드를 심어 놓고 사용자가 웹페이지 접속 시 사용자 모르게 악성 프로그램을 다운로드하여 감염시키는 수법
• 매트릭스 랜섬웨어에 감염이 되면 불법사이트 접속으로 파일을 암호화했으니 벌금을 내라는 FBI 사칭 경고문과 함께 비트코인으로 몸값을 요구함
• 해외에서는 3월, 국내에서는 지난 4월부터 유포되는 것이 확인되었으며, 국내에 대규모로 유포된 것은 금번이 두번째로 확인됨
  ※ 하우리 백신사에서 국내 다수 이용자들이 해당 랜섬웨어에 감염되었다는 소식을 전하고 있으나 국내 사고 내역에 대한 실제 사례는 확인되지 않음
• 유포된 랜섬웨어는 기존과 다르게 파일 확장자를 변경하지 않는 것으로 확인
  - MATRIX의 변형 과정
• 2017년 3월 Matrix 1차 변조 (.matrix)
• 2017년 4월 Matrix 2차 변조 (.b1010ckedl)
• 2017년 7월 Matrix 3차 변조 (확장자 변조 없음)

• 감염 경로

• 발신자가 불분명한 이메일 內 첨부파일 실행
• P2P를 이용한 파일 다운로드
  - 다운로드 파일 실행 시 파일 內 숨겨진 매트릭스 랜섬웨어가 실행되며 감염
  ※ P2P : Peer to Peer의 약자로 인터넷에서 개인과 개인이 P2P 프로그램을 이용하여 직접 파일을 공유
• 보안이 취약한 웹페이지 접속
  - TV 드라마/영화 등을 시청하는 스트리밍 사이트나 광고 팝업이 많은 취약한 뉴스, 블로그 사이트 접속을 통한 감염

• 증상 및 동작 원리

• 아래와 같은 파일 확장자를 암호화하여 정상 사용 불가
  

.xls, .xlsx, .doc, .docx, .pdf, .txt, .jpg, .psd, .wav, .mp4, .mpg, .avi, .wmv 등

• 바탕화면을 포함한 모든 폴더에 랜섬노트(WhatHappenedWithMyFiles.rtf)를 생성하여 사용자가 이를 열람하고 비용을 지불하도록 유도
• 96시간 이내에 해커의 메일로 연락하지 않을 경우 파일 복구가 불가능하며 12시간마다 복구비용을 100$씩 올리겠다는 내용이 포함됨
• 컴퓨터가 새로 시작될 때마다 랜섬노트 프로세스(mshta.exe) 실행

• 조치 방법

• [작업관리자] - [프로세스] 탭에서 mshta.exe.를 모두 종료
• C:\Users\Administrator\AppData\Roaming 폴더 내 감염 시기에 생성된 hta, ast, afn 파일들을 모두 삭제
• 시스테 복원 기능을 사용하여 암호화된 파일을 부분적으로 복원 가능
• 현재 100% 조치 및 복원은 불가능하며 포맷 권장