□ 개요
대형커뮤니티에 감염이 되면서 이슈를 일으켰던 최초의 한글화 랜섬웨어 CryptoWall 에 이어 두번째 한글화 랜섬웨어가 나타났다.

해당 랜섬웨어는 .RRK (변종에 따라 .rmd) 확장자로 암호화되며 %Windows% 폴더에 directx.exe 라는 이름으로 자가 복제하여 실행된다.

 

□ 내용

해당 악성코드는 다음과 같은 확장자를 암호화한다. 암호화되는 확장자 중에 특이점이 있는데,

HWP(한글문서파일 확장자) 와 alz(알집압축파일 확장자) 파일이 암호화된다는 점이다. 

확실히 국내에 대해 조사하고 타겟으로 삼고 있다는 점을 알 수 있다.

아래와 같은 명령어를 실행하여 볼륨 섀도우 카피를 삭제한다. 이러한 명령어는 윈도우에서 기본적으로 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없게끔 한다.

다른 랜섬웨어 악성코드(Ex. Crpyto-Locker) 들에게서도 자주 발견되는 명령어다.

해당 악성코드가 실행되고 암호화가 끝나면 바탕화면에 YOUR_FILES.url 이라는 파일을 생성하고

자동으로 파일이 열리는데 다음과 같은 화면이 나온다.

해당 악성코드에서 주목할 만한 점은 무려 11개국의 언어를 지원한다는 점이다.

물론 번역기를 통한 자동번역 이지만 미국, 독일, 폴란드, 프랑스, 이탈리아, 스페인, 베트남, 러시아, 터키, 대만, 한국의 11개국 언어를 지원한다는 점에서 타겟이 굉장히 다양한 걸 알 수 있고, 아시아권의 타겟이 늘었다는 것도 특이점이라고 볼 수 있다.

다른 특이점으로는 요즘 유행하는 CryptoWall, TeslaCrypt 와는 달리 AES-256 이라는 암호화기법을 이용하여 암호화 한다는 점 등을 특이사항으로 꼽을 수 있겠다.

해당 악성코드는 계속해서 업데이트 되고 있으며 업데이트를 거치면서 기존 페이지에 삽입되어있던 동영상 설명을 없애고, 감염되는 확장자를 변경하는 등의 업데이트를 계속해서 수행하며 완성도를 높여가고 있다.

 

□ 예방 방법

랜섬웨어에 감염되지 않도록 사용자들은 다음 예방방법을 생활화 하여야 한다.

1. 스팸 메일 첨부파일 실행 금지

2. 지속적인 네트워크 연결을 하는 의심되는 프로세스 확인

3. 운영체제 및 각종 응용프로그램 최신 보안 업데이트 실시

4. 바이로봇 백신 프로그램 최신 업데이트 유지

5. APT-Shield 같은 취약점 보호 프로그램 설치 후 최신 업데이트 유지