토렌트로커 랜섬웨어 변종, 일본 사용자 타겟팅

목차

• 일본 사용자를 특별히 타겟팅하는 토렌트로커 랜섬웨어 변종
• 토렌트로커에 대하여
• 공격

일본 사용자를 특별히 타겟팅하는 토렌트로커 랜섬웨어 변종

시만텍의 보안 전문가들이 발견한 새로운 토렌트로커 랜섬웨어 변종이 실제로 악용되고 있습니다. 이는 일본 사용자를 특별히 타겟팅하는 랜섬웨어의 첫 번째 보고 사례입니다. 일본은 랜섬웨어에 익숙하지만, 그동안 사이버 범죄자가 일본 사용자를 이렇게 구체적으로 공격하려는 시도는 없었습니다. 시만텍 연구원들은 이 랜섬웨어가 토르로커의 지역화된 변종이라고 말합니다. 이 악성코드는 감염된 컴퓨터에서 특정 파일 확장자를 가진 파일을 암호화하고, 사용자가 파일을 복호화하기 위해 지불할 것을 요구합니다. 시만텍 연구원들은 이 특정 일본 랜섬웨어의 여러 변종이 존재한다고 확인했습니다.

토렌트로커에 대하여

이 새로운 유형의 랜섬웨어는 크립토로커 및 크립토월 랜섬웨어의 형제이며, 토르 익명 네트워크를 사용하여 명령 및 제어 서버와 통신합니다. 토렌트로커는 크립토로커 및 크립토월 랜섬웨어의 테마와 이름을 사용하지만, 코드 수준에서는 매우 다르며 새로운 랜섬웨어 변종으로 여겨집니다. 이 악성코드는 먼저 안전한 통신을 통해 명령 및 제어(C&C) 서버에 연결하고, 악성코드를 암호화하기 전에 인증서를 교환합니다. 이 악성코드는 파일 암호화에 Rijndael 알고리즘을 사용합니다. 이는 대칭 암호이며, 암호화를 위해 로컬에 저장된 비밀번호 또는 원격 공격자의 서버에서 가져온 비밀번호를 사용합니다.

공격

랜섬웨어는 일반적으로 가능한 많은 매체를 통해 퍼져서 무방비 사용자를 감염시키려 하지만, 사이버 범죄자들이 가장 선호하는 매체는 스피어 피싱입니다. 이 악성코드는 피해자가 진짜 파일이라고 생각하고 다운로드하는 무해한 이메일에 첨부되어 있습니다. 랜섬웨어가 기계에 다운로드되면, 프로그램을 통해 명령받은 모든 파일을 암호화하고, 파일을 복호화하기 위해 지불을 요청합니다. 일반적으로 비트코인으로 지불을 요구하며, 이로 인해 사용자 데이터가 인질이 됩니다. 이 특정 랜섬웨어는 모든 지침이 일본어로 작성된다는 추가 사항이 있습니다.

토르로커는 전 세계의 랜섬웨어 공격에 사용되었습니다. 이 위협은 제휴 프로그램의 일환으로, 프로그램 운영자가 참가자에게 맞춤형 랜섬웨어를 생성할 수 있는 빌더, 감염 추적을 위한 토르로커 제어판 접근, 악성코드와 함께 사용할 수 있는 다양한 파일을 제공합니다. 그 대가로 참가자는 공격에서 발생한 수익의 일부를 제휴 프로그램 운영자에게 제공합니다.

이 악성코드는 위 그림에 제공된 피싱 페이지를 통해 퍼집니다. 이 페이지는 가짜 어도비 플래시 플레이어 설치 페이지를 표시합니다. 사용자가 노란색 링크를 클릭하여 이 가짜 플래시 플레이어를 다운로드하면, 플러그인을 설치하기 위해 설정 파일을 다운로드하고 실행하라는 메시지가 표시됩니다. 그러나 이 파일은 디지털 서명이 되어 있지 않으며, 플래시 플레이어 설치 프로그램에서 사용되는 일반적인 아이콘도 포함되어 있지 않습니다. 이 두 가지 사실은 이것이 악성코드가 포함된 가짜 애플리케이션이라는 것을 암시하며, 오직 주의 깊은 사용자만이 차이를 발견할 수 있습니다. 파일이 다운로드되고 설치되면, 랜섬웨어는 사용자의 데이터를 암호화하는 작업을 시작합니다.

악성코드가 작업을 마치면, 이 화면이 사용자에게 표시됩니다. 메시지는 사용자가 파일을 잠금 해제하기 위해 지불할 것을 요청합니다. 요구되는 몸값은 40,000엔에서 300,000엔(약 500달러에서 3,600달러)입니다. 일본은 새해 연휴가 다가오고 있어 사이버 범죄자들이 공격하기에 적절한 시점입니다. 공격자는 아마도 인터넷을 탐색하는 무방비 사용자를 최대한 활용하고자 할 것입니다.

시만텍은 랜섬웨어 감염을 피하거나 완화하기 위한 다음과 같은 권장 사항을 제시합니다:

• 공격자가 알려진 취약점을 악용하지 못하도록 소프트웨어, 운영 체제 및 브라우저 플러그인을 업데이트하십시오.

• 사이버 범죄자로부터 자신을 보호하기 위해 Norton Security와 같은 종합 보안 소프트웨어를 사용하십시오.

• 컴퓨터에 저장된 파일을 정기적으로 백업하십시오. 컴퓨터가 랜섬웨어에 감염된 경우, 악성코드가 제거된 후 이러한 파일을 복원할 수 있습니다.

• 결코 몸값을 지불하지 마십시오. 공격자가 지불을 받은 후 약속대로 파일을 복호화할 것이라는 보장은 없습니다.