News

체크멀의 모든 소식을 빠르게 전해드립니다.

안티랜섬웨어 전문기업 체크멀(대표 김정훈)RaaS(Ransomware as a Service) 방식으로 운영되던 Satan 랜섬웨어가 지속적인 변종 개발로 감염 시 한국어 결제 메시지가 나타나는 것을 확인했다고 밝혔다.


대표적으로 알려진 Satan 랜섬웨어 변종은 위와 같은 형태로 파일 암호화 및 결제 안내 파일을 생성하며, 초기에는 영어와 포르투갈어만 지원했만 현재는 한국어를 포함한 23개 언어로 확대되었다. 또한 최근에는 더욱 광범위한 감염을 목적으로 EternalBlue SMB 취약점을 이용한 전파 기능이 포함하여 유포되고 있다.

EternalBlue SMB 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) 2017 5월경에 WannaCry 랜섬웨어에 의해 사용되어 큰 이슈가 되었었다.

Satan
랜섬웨어의 정확한 감염 방식은 확인되지 않았지만, 메일 첨부 파일 또는 메일에 포함된 URL 링크를 통해 파일 다운로드 및 실행이 이루어지는 구조를 가지고 있다.
최초 Satan 랜섬웨어 드랍퍼(Dropper)가 다운로드 되어 실행되면 중국어를 사용하는 환경에서 제작된 것을 확인할 수 있으며, 각 파일은 비밀번호로 보호되어 있는 것이 특징이다.




암호화된 파일은 [satan_pro@mail.ru]<원본 파일명>.<원본 확장명>.satan 형태로 변경된다. _How_to_decrypt_files.txt 결제 안내 파일이 생성되어 영어, 중국어, 한국어로 표시된 메시지를 통해 비트코인 결제를 요구한다.


체크멀 관계자는 “Satan 랜섬웨어가 앞으로도 지속적인 변화와 기능 추가를 통해 유포 활동이 지속될 것으로 보여 각별히 주의해야 한다
앱체크는 Satan 랜섬웨어를 포함, 800개 이상의 신/변종 랜섬웨어를 차단하므로 감염 전 미리 설치하여 안전한 PC 환경을 유지하시길 바란다고 전했다.

 

List

위로