웹을 통해 유포되는 Bad Rabbit 랜섬웨어 주의
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
웹과 SMB로 'Bad Rabbit' 이름의 랜섬웨어가 유포되고 있습니다. 현재 동유럽의 일부 국가에서 감염이 확인된 상태이며, 국내로 유입될 가능성이 있어서 이용자들의 주의를 당부드립니다.
hxxp://1dnscontrol.com/index.php
hxxp://1dnscontrol.com/flash_install.php
[표 1] 유포지로 알려진 사이트
해당 악성코드는 Adobe Flash Player 관련 파일로 위장하였으며, 파일 암호화와 MBR 암호화 기능을 수행합니다.
우선 파일 암호화에 대한 내용입니다. 다음의 확장자 문자열을 가진 파일들을 암호화합니다.
3ds, 7z, accdb, ai, asm, asp, aspx, avhd, back, bak, bmp, brw, c, cab, cc, cer, cfg, conf, cpp, crt, cs, ctl, cxx, dbf, der, dib, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, hpp, hxx, iso, java, jfif, jpe, jpeg, jpg, js, kdbx, key, mail, mdb, msg, nrg, odc, odf, odg, odi, odm, odp, ods, odt, ora, ost, ova, ovf, p12, p7b, p7c, pdf, pem, pfx, php, pmf, png, ppt, pptx, ps1, pst, pvi, py, pyc, pyw, qcow, qcow2, rar, rb, rtf, scm, sln, sql, tar, tib, tif, tiff, vb, vbox, vbs, vcb, vdi, vfd, vhd, vhdx, vmc, vmdk, vmsd, vmtm, vmx, vsdx, vsv, work, xls, xlsx, xml, xvd, zip
[표 2] 암호화 대상 확장자 문자열
파일 암호화와 함께 'drogon', 'rhaegal' 이름의 스케줄러를 등록하고 지정된 시간에 종료하도록 합니다.
[그림 1] 작업 스케줄러 등록
그리고 Bad Rabbit 랜섬웨어는 지난 Petya 랜섬웨어처럼 MBR 영역을 암호화하고, 비트코인 결제를 요구하는 랜섬노트를 보여줍니다.
[그림 2] 부팅 시 랜섬노트 화면
랜섬노트에서는 'caforssztxqzf2nm[.]onion' 웹 주소로 접속하도록 유도합니다. 현재 다크넷 0.05 비트코인(약 31만원)을 요구하고 있습니다.
[그림 3] Bad Rabbit 랜섬웨어 다크넷 사이트 화면
따라서 이용자들은 사용 중인 애플리케이션과 윈도우 업데이트를 항상 최신 상태로 유지해주시고, 출처가 불분명한 파일을 다운받고 실행하지 않도록 주의해주시기 바랍니다. 또한 중요한 자료는 외장 매체에 정기적으로 백업하여 피해를 최소화해주시기 바랍니다.
현재 알약에서는 'Bad Rabbit' 랜섬웨어를 'Trojan.Ransom.BadRabbit'으로 진단하고 있습니다.