비트코인 지갑을 노리는 랜섬웨어 ‘하쿠나 마타타’가 등장했다는 소식입니다.
1. 개요
현재까지 확인된 내용은 주로 마이크로소프트(MS) 프로그램인 엑셀이나 워드를 사용 시 속도가 느려져 버벅되는 현상이 발생되고 작업 중 파일이 종료되는 증상이 발생한다는 것입니다. 이후에 엑셀, 워드, 파워포인트등의 MS 프로그램 파일이 암호화되어 열수가 없고 재부팅 후에는 푸틴 러시아 대통령의 그림으로 바탕화면 이미지가 변경되며 랜섬웨어 감염을 알리고 관련 TXT파일을 열어 내용을 확인하라는 내용이 보여집니다.
2. 랜섬노트
잠긴 파일들을 풀기 위해서는 72시간 안에 해커에게 연락해 협상을 통해 풀어야 하고 만약 시간이 지날 시 암호화된 파일은 사용할 수 없고 해킹에서 확보한 파일과 정보를 다크웹과 온라인에 공개하겠다는 내용이다.
3. 당신의 비트코인을 노린다
해당 공격의 특징은 공개적인 해킹기능 말고도 클립뱅커(ClipBanker) 기능이 숨겨져 있는 것이 특징입니다. 이는 위에 언급된 파일들을 암호화한 이후에도 계속 실행되고 있으면서 사용자가 이체를 위해 지갑 주소를 복사하는 순간 해커의 비트코인 지갑 주소로 변경되어 코인을 가로챌 수 있습니다. 대부분의 사람들이 긴 주소의 계좌를 기억하지 않고 복사 붙여넣기로 이체하는 점을 노렸습니다. 워낙 길고 어려운 알파벳으로 이루어진 지갑 주소가 변경되어도 알아채기 어려워 상당한 피해가 예상됩니다.
3-1 하쿠나 마타타 해커의 지갑 주소
해커의 지갑 주소
1. bc1qpkgejqerp74g23m7zhjkuj6e9c3656tsppqlku
2. 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
4. 공격 대상의 다각화
기본 공격 기능의 경우 MS프로그램을 사용하는 기업들을 대상으로 파일을 암호화 한 후 금전적 보상을 요구하는 것으로 보여지고 개인을 대상으로 할 경우 작업 된 파일의 중요도가 낮을 수 있으므로 비트코인 지갑을 노리는 것으로 보여집니다.
5. 예방 방법
현재까지 알려진 방법으로는 이메일을 통한 첨부파일 문서를 통한 공격입니다. 최대한 신원이 확인되지 않은 사람이 보낸 문의, 견적 등의 이메일 첨부파일은 절대 열지 않는 것이 좋습니다. 또한 보안 프로그램을 주기적으로 업데이트 하여 항상 최신 상태로 유지하시기를 권합니다. 그럼에도 불구하고 감염되었을 경우에는 해커에게 연락하지 마시고 한국인터넷진흥원(KISA)에 신고하시는 것이 좋습니다.
5-1 해커의 이메일 주소
현재까지 알려진 해커의 공격 이메일 주소는 다음과 같습니다.
[공격 메일 주소]
keylan@techmail[.]info, gerb666@proton[.]me
6. 사용된 악성코드
해커는 “C:\Temp\”등의 경로에 악성코드를 설치했고 대부분 닐소프트(NirSoft)가 만든 계정 정보 탈취 기능을 활용했습니다.
7. 마무리
이번 공격은 감염될 경우 상당한 어려움을 겪게 될 것이 분명함으로 최대한 예방에 신경 쓰는 것이 좋을 것 같습니다. 특히 코인 거래량이 많은 한국의 경우 개인들에게도 피해가 갈 것으로 예상되므로 되도록 매일 보안 프로그램 업데이트를 하고 특정 할 수 없는 상대의 메일은 열어보지 않는 것이 최선의 예방 방법입니다.
좀 더 자세한 내용은 아래의 안랩시큐리티대응센터의 블로그 글을 참고해주세요.
디아블로4 지옥물결 수수께끼 위치 실시간으로 확인하는 방법
워드프레스 테마 선택 고민? 인기있는 5개 사이트 추천