News

체크멀의 모든 소식을 빠르게 전해드립니다.

안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 기존 방식과 다르게 파일을 암호화하는 BitPaymer 랜섬웨어의 변종이 확인됐다고 13일 밝혔다.

정확한 감염 경로는 아직 알려지지 않았으나 서버 환경을 표적으로 보안 설정이 취약한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 감염 시키는 것으로 추정된다.

BitPaymer 랜섬웨어가 실행되면 ADS(Alternate Data Stream) 방식으로 파일을 생성하고 감염된 시스템에 등록된 임의의 서비스 파일을 자신으로 바꾼다.
ADS 방식으로 파일을 생성할 경우 외형적으로는 파일이 보이지 않고, 탐색기로 보면 0 바이트로 표시되어 데이터가 없는 것처럼 보이게 된다.


BitPaymer의 특징 중 하나는 직접 암호화를 진행하지 않고 시스템에 등록된 서비스 파일 중 권한을 획득한 서비스 파일에 접근해 그 파일을 자신의 파일(랜섬웨어 실행파일)로 바꿔치기 한다. 따라서 서비스가 동작해도 마치 정상적인 서비스 파일이 실행되는 것으로 착각하여 일부 백신은 탐지가 어려울 수 있다. 또한 정상적인 시스템 파일을 변경하였기 때문에 파일 암호화 과정에서 시스템 파일 변경 문제로 블루스크린이 발생하는 경우도 있다.



특히 서비스 동작 중 실패 시 2분마다 자동으로 재실행되도록 설정되어 있는 점을 활용, 동작 중 차단될 경우 2분마다 재실행한다. 일부 서비스는 1분마다 재실행되도록 기본 설정되어 있다. 그 외에도 내부 네트워크로 연결된 ARP 서버 조회를 통해 네트워크 드라이브로 연결된 공유 폴더에 대한 파일 암호화도 진행될 수 있어 기업에서는 더욱 각별한 주의가 필요하다.
 

파일 암호화가 진행되면 문서, 사진, 압축 파일 등의 개인 파일은 .locked 파일 확장명이 추가되고 결제 안내 파일이 생성된다. 파일 복호화를 위해 이메일 주소를 안내하고, 비트코인 주소는 공개하는 반면 요구하는 금액은 공개하지 않는다.
 

체크멀 관계자는 “ADS 방식으로 동작할 경우에도 앱체크는 정상적으로 차단한다” “BitPaymer 랜섬웨어는 지속적으로 재실행될 수 있고, 시스템 문제를 발생시킬 수 있어 주의하시기 바란다”고 전했다.

List

위로