Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Win32/Ransomware.Cerber.464896
작성일 2017-08-11 조회 1169

 

개요


Cereber 랜섬웨어는 2016년 3월에 등장해 CERBER1 - CERBER2 - CERBER3 - CERBER4.0.1 - CERBER5.0.1 - CERBER6.0.1 의 진화 과정을 거치면서 수많은 피해자를 양산했습니다. 이 바이러스에 감염이 되면, 컴퓨터를 통해 소리를 내서 감염 사실을 알리기 때문에 인터넷 상에서 '말하는 랜섬웨어'라는 별명도 있습니다. 최근, 해당 랜섬웨어에 비트코인 지갑과 암호정보를 훔칠 수 있는 기능이 추가되었다고 합니다. 
 
이에 윈스에서는 해당 샘플을 확보하고 분석하고 대응 방안을 제공합니다.

 
 

확인 내역


비트코인 지갑과 암호정보를 훔칠 수 있는 기능이 추가된 샘플의 정보는 다음과 같습니다.
 
[그림1] 샘플 정보
 
 
해당 샘플은 다음과 같이 e-mail을 통해서 전달이 되며, 랜섬웨어에 감염되게 되면 메시지 창과 바탕화면이 변경되고 파일들이 암호화 됩니다. 암호화된 파일은 4자의 확장자로 바뀌게 됩니다.
 

[그림2] e-mail 첨부를 통해 전달되는 램섬웨어(출처: 트렌드마이크로)
 
 

[그림3] 랜섬웨어 감염 시
 
 

[그림4] 파일 암호화
 
 
또한 새로운 IP 주소 대역으로 전환하여 통계 목적으로 UDP 패킷을 보내며, 비트코인 블록 체인 탐색기에 HTTP 요청을 하여 비트코인 주소에 대한 거래 정보가 포함 된 JSON 문서를 받게됩니다.
 

[그림5] UDP 트래픽
 
 

[그림6] JSON 파일 다운로드
 
위 [그림6]의 gzip으로 압축되어 있는 내용은 JSON 파일입니다.
 

[그림7] JSON 파일 내용
 
 
Cerber 랜섬웨어는 주기적으로 기능이 추가되어 업데이트 진행되고 있으며, 이번에 버전에서는 비트코인(Bitcoin) 지갑과 암호정보를 훔치는 기능이 추가되었습니다. Cerber 랜섬웨어가 타깃으로 하는 세개의 비트코인 지갑 어플은 다음과 같습니다.
 

* BitCoin wallet

* Multibit wallet

* Electrum

 
 
 
 
 

대응방안


1)최신의 백신으로 치료한다.

2)시스템의 존재하는 파일의 백업을 항시 유지한다.

3)신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다.
 
4) 당사 IPS에서는 아래와 같은 패턴으로 대응이 가능하다.

[3624] Win32/Ransomware.Cerber.464896

 

 

 

참고

http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-ransomware-evolves-now-steals-bitcoin-wallets/

첨부파일 첨부파일이 없습니다.
태그 Cerber  Ransomware  Bitcoin Wallet