□ 개요

최근 크립토믹스(CryptoMix) 랜섬웨어의 변종인 크립토실드(CryptoShield) 랜섬웨어가 발견되었다. 크립토실드는 주로 리그 익스플로잇킷(RIG Exploit Kit)을 이용하여 웹사이트 페이지에 해킹된 광고 서버들을 통해 유포되고 있기 때문에 웹 서핑을 이용하는 국내 PC 사용자들의 각별한 주의가 필요하다.

□ 내용

크립토실드 랜섬웨어는 주로 웹 서핑 중 감염된다. 웹사이트 방문자가 해킹된 광고 서버를 포함한 사이트를 방문하면 EITest 공격 체인을 만나게 된다. EITest는 악의적인 자바스크립트 코드를 삽입하여 방문자 측 PC에서 실행하도록 하는 방식이다. 이렇게 삽입된 자바스트립트 코드가 실행되면 리그 익스플로잇킷을 로드하여 크립토실드 랜섬웨어를 다운로드하고 실행한다. 크립토실드 랜섬웨어에 감염되면 사용자 PC에 존재하는 454개의 확장자를 포함하는 파일들에 대하여 암호화를 수행한다. 암호화가 끝나면 ROT-13 암호화 방식으로 파일 이름을 알아볼 수 없게 바꾼 뒤 “.CRYPTOSHIELD”라는 확장자를 추가한다. 파일 암호화가 모두 끝나면 메모리 오류라는 거짓 경고 창을 띄우며, 사용자가 확인을 누를 경우 랜섬웨어 감염 노트를 보여준다.

[그림 1] 크립토실드에 감염된 파일과 감염노트

암호화 과정에서 볼륨 쉐도우 복사본을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하며 파일 복호화를 위한 비용 지불은 해커의 이메일을 통해서만 연락하는 것이 가능하다. 아직까지 크립토믹스나 크립토실드로 암호화된 파일을 해독하는 방법은 없다. 하지만 웹사이트 취약점을 이용한 리그 익스플로잇킷 방식으로 유포 중이기 때문에 모든 프로그램 및 운영체제, 특히 어도비 플래시와 자바 등 각종 보안 업데이트를 최신으로 유지하고 백신이나 취약점 차단 솔루션을 사용하여 감염을 미연에 방지할 수 있다.

[표 1] 크립토실드가 암호화하는 확장자 목록

□ 바이로봇 업데이트 내역

Trojan.Win32.S.Ransom.97280 외 다수

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html