News
체크멀의 모든 소식을 빠르게 전해드립니다.
안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 유효한 "DSGN & CO. LTD" 디지털 서명이 포함된 랜섬웨어가 확인됐다고 2일 밝혔다.
헤르메스(HERMES) 2.1 랜섬웨어와 래피드(Rapid) 랜섬웨어 유포에 사용된 악성파일에 유효한 "DSGN & CO. LTD" 디지털 서명이 포함되어 있다.
헤르메스 2.1 랜섬웨어는 최신 보안 패치가 적용되지 않은 인터넷 익스플로러 웹 브라우저를 이용해 특정 웹 사이트 접속 시 취약점 방식으로 감염되는 기존 내용과 크게 다른 부분은 없다. 파일 암호화 완료 후 파일을 복원할 수 없도록 볼륨 섀도우 삭제 및 각 드라이브에 존재할 수 있는 백업 파일을 삭제한다.
헤르메스 2.1 랜섬웨어 유포가 중지된 후 10월 31일 오후부터 래피드 랜섬웨어 유포가 진행되기 시작했다. 래피드 랜섬웨어 유포에 사용된 악성파일에도 동일한 디지털 서명이 사용됐으며 랜섬웨어 파일 실행 위치도 동일하다.
공격자가 헤르메스 2.1 랜섬웨어 유포 후 래피드 랜섬웨어로 전환한 것으로 추측된다. 감염이 이루어진 래피드 랜섬웨어는 1분마다 랜섬웨어 악성 파일을 재실행하여 암호화한다. 또한 윈도우 부팅 시에도 자동 실행되도록 시작 프로그램 레지스트리 값에 등록한다.
이와 같이 유효 디지털 서명 우회 발급 및 타 업체의 디지털 서명을 악용해 랜섬웨어 악성 파일에 추가하여 유포하는 사례도 발견되고 있다.
체크멀 관계자는 “인터넷 익스플로러 웹 브라우저, 어도비 플래시 플에이어와 같은 소프트웨어 취약점(Exploit)에 대한 최신 보안 패치를 업데이트 하는 것이 중요하다”며 “앱체크는 헤르메스 2.1 랜섬웨어와 래피드 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”고 말했다.