2011년 3월 11일 해외에서 취약한 웹 사이트들을 악용하여 컴퓨터 사용자들의 정상적인 사용을 방해해 금전적인 이득을 취하는 랜섬웨어(Ransomware)가 유포되었다.
이 번에 유포된 랜섬웨어는 기존에 알려진 랜섬웨어들과 다르게 감염된 시스템의 사용자들에게 경찰에서 경고하는 메시지로 위장하여 사용자의 시스템에서 음란 동영상들과 불법 소프트웨어들이 발견되었음으로 하루가 지나면 해당 증거물들을 사법기관에 전송하겠다는 문구들을 보여주고 있다.
최근에 발견된 랜섬웨어들의 사례를 살펴보면 2010년 12월 2일에는 파일들을 암호화하는 사례와 2010년 12월 3일에는 하디 디스크의 MBR을 덮어쓰는 사례가 발견 되었다.
해당 사례들 대부분은 정상적인 시스템 사용을 방해하고 이를 해결하기 위해서는 금전적인 댓가를 지불하라는 메시지를 전달 하지만 이 번에 발견된 랜섬웨어의 경우에는 사이버 범죄 증거물들이 발견되었다는 것으로 사용자의 불안감을 유발하여 금전적인 댓가를 취하려는 점이 특이한 사례로 볼 수 있다.
해당 랜섬웨어는 취약한 웹 페이지들을 통해 유포 중에 있으며 해당 웹 페이지에 접속하는 사용자들이 사용하는 웹 브라우저에 따라 다른 메시지를 보여주고 다른 파일명의 악성코드를 다운로드 하도록 유도하고 있다.
마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서는 아래 이미지와 같이 “공격 사이트 보고!”라는 메시지를 보여주며 인터넷 익스플로러에 대한 업데이트를 설치하라는 문구를 보여준다.
해당 웹 페이지에서 보여준 “인터넷 익스플로러에 대한 업데이트를 설치”를 클릭하게 되면 아래 이미지에서와 같이
Internet-Explorer_update.exe(187904 바이트) 파일을 다운로드 하게 된다.
그리고 구글(Google)의 크롬(Chorme)으로 해당 웹 페이지를 접속하게 되면 아래 이미지에서와 같이 공격 사이트가 보고되었다는 메시지와 함께 크롬에 대한 업데이트를 설치를 유도하고 있다.
“Chrome에 대한 업데이트를 설치”를 클릭하게 되면 아래와 같이 Chrome_update.exe(187904 바이트)의 파일을 다운로드 하게 된다.
다운로드 한 파일들을 실행하게 되면 시스템 전체를 사용하는 아래 이미지에서와 같이 메시지를 보여주며른 작업들을 할 수 없도록 방해하게 된다.
해당 메시지는 해당 파일이 실행된 운영체제의 언어에 따라 영어, 중국어 및 일본어들도 보여주는 다국어로 제작되었다.
이 번과 같이 불법 음란물과 소프트웨어를 사용한 사이버 범죄의 증거물이 발견되었다는 허위 경고 메시지를 보여주는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Categories:악성코드 정보