보안프로그램으로 위장한 랜섬웨어 발견
► MalwareHunterTeam 연구원은 SuperAntiSpyware 보안프로그램으로 위장한 Kraken Cryptor 랜섬웨어 변종을 발견

​► 해당 보안프로그램 서버에 랜섬웨어 실행 파일이 업로드 되어 사용자들에게 배포됨


KraKen Cryptor 랜섬웨어
► 공격자들은 Kraken Cryptor 랜섬웨어를 superantispyware.com 사이트의 접근 권한을 통해 배포
※ 감염 피해자들의 다운로드 경로 접근 방법에 대해서는 밝혀진바 없음

► 정식 프로그램명에서 ‘s’를 추가한 ‘SUPERAntiSpywares.exe’라는 가짜 실행파일을 배포

► 랜섬웨어가 실행되면 ‘C:\ProgramData\Safe.exe’를 실행하여 감염 PC의 이벤트 로그를 C:\ProgramData\EventLog.txt로 저장하고, 구성 파일과 비교
※ 구성파일에는 중지할 프로세서, 공개 암호화키, 공격자 연락처, 랜섬 가격, 확장자, 제외 파일 및 폴더, 제외 국가 및 언어 등이 포함

► 감염 PC의 언어, 위치(국가), 확장자를 확인하여 ‘00000000-Lockonion’ 형식으로 암호화 진행
※ 파일명의 숫자는 파일이 암호화 될 때마다 증가

► 이후 PC의 여유 저장 공간을 0으로 덮고 Windows 시작 복구 기능을 비활성화, 백업 데이터를 삭제하여 복구를 어렵게 함

시사점
► 보안프로그램 제조사는 자사 서버에 존재하는 악성 파일을 삭제하고 서버 내 취약점을 조치하였다고 밝힘
► 해당 악성코드 다운로드 접근 경로 및 해독방법이 공개되지 않았으므로 출처를 알 수 없는 파일 삭제 및 최신 버전의 소프트웨어 사용 등 사용자들의 각별한 주의가 필요


[출처]
1. Bleepingcoumputer, “Kraken Cryptor Ransomeware Masquerading as SuperAntiSpyware Security Program”, 2018.9.14.

2. https://www.boho.or.kr/data/trendView.do?bulletin_writing_sequence=27629