CryptoLocker "및 기타" 몸값 요구 형 악성 프로그램 (랜섬웨어) "의 위협이 2013 년 말에서 심각한 문제가되고 있습니다. "TrendLabs (트렌드 랩)"는 2014 년 3 월 랜섬웨어에 새로운 위협이 더해진 것을 확인했습니다. "BitCrypt」라고 불리는이 새로운 위협은"Bitcoin (비트 코인)」에 의한 몸값 지불을 요구하는 때, 일본어 등 여러 언어로 협박하는 변종의 존재도 확인되었습니다.
트렌드 연구소는 "BitCrypt」의 2 종류의 변종을 확인하고 있습니다. 첫 번째 변종 " TROJ_CRIBIT.A "에서 암호화 된 모든 파일 확장명에". bitcrypt "를 추가합니다. 몸값을 요구하는 협박 편지는 영문 전용입니다. 두 번째 변종 " TROJ_CRIBIT.B"에서". bitcrypt 2 "를 확장자에 추가합니다. "협박 편지」는 10 개의 언어로 작성된 다음의 순서로 작성되어 있습니다.
- 영어
- 프랑스어
- 독일어
- 러시아어
- 이탈리아어
- 스페인어
- 포르투갈어
- 일본어
- 중국어
- 아라비아어
랜섬웨어는 파일 암호화를 완료 한 후이 10 개 국어에 대응 한 협박장을 표시합니다. 다음은 협박장의 일본어로 쓰여진 부분입니다.
다른 언어로 작성된 협박 편지도 내용은 거의 같고, 기계 번역을 이용한 것처럼 생각됩니다. 상기 외에 "TROJ_CRIBIT.B"바탕 화면 배경 화면을 검은 색 일색으로 바꾸고 흰색 문자로 사용자에게 메시지를 표시합니다 (그림 2).
이 랜섬웨어는 분석을 더 어렵게하기 위해 자신의 복사본을 PC에 남기지 않습니다. 따라서 거동의 해석과 감염 경로의 확인이 어렵습니다.
추가 조사를 수행하면 " TSPY_FAREIT.BB "가"TROJ_CRIBIT.B "를 다운로드하는 것을 확인했습니다."TSPY_FAREIT.BB"는 정보 수집을 실시하는 「FAREIT "패밀리 변종의 하나이며, 다양한 비트 코인 클라이언트 소프트웨어 (지갑)의 정보를 수집하는 능력을 가지고 있습니다. 이 변종은 다음 비트 동전 지갑의 파일을 검색하고 정보 수집을 시도합니다.
- wallet.dat (비트 코인)
- electrum.dat (Electrum)
- . wallet (MultiBit)
"CryptoLocker"뿐만 아니라 파일의 암호를 풀기 위해 사용자가 전문 사이트처럼 보이는 Web 사이트로 연결됩니다. 그러나 실제로이 Web 사이트는 " Deep Web」의 일부이며, 익명 통신 시스템 "The Onion Router (Tor)"를 이용시에만 사용이 가능합니다. 또한 공격자는 "Tor2Web"에 대한 링크를 제공하고 사용자는 Tor를 사용하지 않아도이 Deep Web의 사이트를 방문 할 수 있습니다. 사용자는 협박 편지에 기재된 BitCrypt ID를 입력하도록 요구됩니다.
로그인하면 사용자는 BitCrypt 홈페이지에 유도됩니다. 그 Web 사이트는 "Bitcrypt Software Inc."시작 몸값에 대한 대가로 데이터를 복구하는 절차가 제공됩니다. 몸값으로 지불에는 0.4 비트 코인 (BTC)이 요구됩니다. 이것은 현재의 가격은 약 240 달러 (2014 년 3 월 27 일 현재 약 2 만 4 천 원)입니다. 사이버 범죄자는 그림 4와 같이 Web 사이트에서 FAQ 페이지도 제공합니다.
트렌드 마이크로 클라우드 보안 기초 " Trend Micro Smart Protection Network "의 의견에 따르면,"CRIBIT "피해자의 40 %는 미국에서 사용합니다. 또한 11 %가 일본으로되어 있습니다.
"BitCrypt"는 트렌드 연구소가 최근 조사한 많은 비트 코인 관련 위협 중에서도 최신입니다. 비트 동전의 가치는 지난해 최고치를 기록한 이후 하락하고 있지만 그래도 여전히 높은 가치가 있습니다. 따라서 비트 코인은 섭취하는 가치있는 "먹이"며 "BitCrypt '처럼 비트 동전의 몸값 지불을 요구하는 랜섬웨어 나" Mt.Gox」나 「Vircurex "와 같은 비트 코인 거래소를 노린보다 대규모 공격이 이루어지고 있습니다.
Trend Micro 제품을 준비 사용자가 우리의 클라우드 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 「Web 평판 "기술은 이러한 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다. 그리고 " 파일 평판 "기술은 위의 악성 프로그램을 감지하고 제거합니다.
참고 기사 :
by Rhena Inocencio (Threat Response Engineer)
'Security_News > 해외보안소식' 카테고리의 다른 글
증가하는 산업제어시스템 보안취약점 (0) | 2014.04.02 |
---|---|
은행, 타켓 및 PCI 인증해준 회사상대 소송 (0) | 2014.04.01 |
비트 동전 등 여러 가상 통화 발굴하게 불의 애플리케이션 정규 시장에서도 확인 (0) | 2014.04.01 |
[3월 4주] 미국 상무부, 인터넷주소관리권 이양계획 발표 등 (0) | 2014.04.01 |
NTP AMPLIFICATION, SYN FLOODS DRIVE UP DDOS ATTACK VOLUMES (0) | 2014.04.01 |