News
체크멀의 모든 소식을 빠르게 전해드립니다.
안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 서비스형 랜섬웨어(Ransomware as a Service, RaaS) 방식으로 운영되는 Ranion 랜섬웨어 1.09버전이 발견됐다고 22일 밝혔다.
해당 랜섬웨어 운영자는 저렴한 가격으로 기간별 패키지 상품을 통해 고객(클라이언트)을 모집하고 있으며, 기존의 백신과 같은 보안시스템을 우회하기 위한 지연 실행 및 코드 암호화, Mutex 생성, 작업 관리자 및 레지스트리 편집기 실행 차단, UAC 우회, 바탕 화면 배경 변경 등 다양한 옵션과 기능을 제공한다. 랜섬웨어를 유포하고 싶은 사람들이 원하는 패키지 상품을 구매할 수 있고, 운영자가 유포시켜주는 시스템이다.
이번 버전에서 확인된 Ranion 랜섬웨어는 익명의 Darknet C&C 서버를 통해 운영되며, 감염되어 생성된 랜섬웨어 악성 파일은 윈도우 탐색기에서 보이지 않게 숨김 파일 속성으로 자가 복제한다. 이후 파일 암호화가 완료되기 전 동작이 멈출 경우 재부팅 시 자동 실행하도록 등록한다. 또한 가상환경에서 분석하는 APT 솔루션을 우회하기 위해 C&C 서버와의 통신 후 약 10분~20분이 경과하면 파일 암호화가 진행되는 지연 시작 방식을 취하는 점도 특징이다.
암호화된 파일은 .ransom 파일 확장명이 추가되며, 하드 디스크에 대한 암호화 후에는 네트워크 드라이브 영역까지 범위를 넓혀 피해를 입힌다.
결제 안내 파일이 생성되고, 7일 이내에 0.050 BTC 암호 화폐를 지불한 후 특정 메일로 연락하도록 안내한다. 결제 안내 파일에는 영어, 러시아어, 독일어, 프랑스어, 스페인어, 이탈리아어, 네덜란드어, 아랍어, 중국어 메시지로 연결되는 부분이 포함되어 있다.
Ranion 랜섬웨어는 한국어 메시지 파일은 생성하지 않지만 1년 6개월 이상 RaaS 방식으로 운영되고 있어 차후 버전 업데이트를 통해 공격 범위 및 기능이 확장될 것으로 예상된다.
체크멀 관계자는 “앱체크 안티랜섬웨어는 Ranion 랜섬웨어에 의해 파일이 암호화될 경우 차단 및 일부 훼손된 파일에 대한 자동 복원을 지원하다”고 말하며 Ranion 랜섬웨어의 악의적 기능에 대해 주의할 것을 당부했다.