최근 파일을 암호화한 후 확장자명에 ‘fs0ciety’라는 문자열을
추가하는 랜섬웨어가 발견됐다. 해당 문자열은 미국 드라마에서 따온 것으로 추정된다. 확장자명에 독특한
문자열을 사용한다는 점 외에도 ▲록키(Locky) 랜섬웨어에 의해 암호화된 파일을 암호화 대상에
포함하거나 ▲CMD 화면을 통해 랜섬웨어의 행위를 확인할 수 있다는 점 등의 특징을 보인다. 이른바
‘F-소사이어티(F-Society)’ 랜섬웨어라고 불리는 이 독특한 랜섬웨에 대해 알아본다.
이번에 발견된 랜섬웨어는 PC에 유입되면 내부에 포함하고 있던 파일들을
C:\DOCUME~1\ASEC\LOCALS~1\Temp\_MEI24202\ 경로에 생성한다. 이때
생성되는 파일들이 주로 암호화, 소켓, 윈도우API 등과 관련된 파이썬 모듈 파일(pyd)과
윈도우API를 사용하기 위한 MFC 관련 동적링크라이브러리(DLL) 파일인 점으로 미루어, 해당
랜섬웨어는 파이썬으로 윈도우 API를 이용하도록 제작된 것으로 추정된다.
또한 이 랜섬웨어의 vssadmin.exe 파일이 실행되면서 백업된 볼륨 섀도우 카피(Volume
Shadow Copy)를 찾아 삭제한다. 이때 특이한 점은 바로 이 과정을 [그림 1]과 같이 CMD
실행 화면을 통해 확인할 수 있다는 것이다.
[그림 1] CMD 실행 화면을 통해 확인 가능한 랜섬웨어 행위
해당 랜섬웨어는 자기 자신을 시작 프로그램에 등록한다. 이후 PC 내 문서 파일 등을 암호화하고
확장자명에 fs0ciety를 추가한다. 암호화하는 과정 또한 CMD 실행 화면을 통해 확인할 수
있다.
[그림 2] 암호화 후 확장명에 fs0ciety 추가
이 랜섬웨어가 암호화한 파일의 확장자명에 추가한 fs0ciety라는
문자열은 최근 미국에서 인기리에 방영된 드라마 ‘미스터 로봇(Mr. Robot)’에 등장하는 나오는
해커 그룹의 이름이다. 드라마 속 해커 그룹은 폐업으로 운영 중단된 펀 소사이어티(Fun
Society)라는 테마파크의 낡은 간판에서 일부 글자가 사라진 것에서 영감을 얻어
‘FSociety’라는 이름을 사용하게 된다.
드라마 ‘미스터 로봇’은 천재 해커를 주축으로 한 언더그라운드 해커를
소재로 하는 드라마로, 전문가의 고증을 통해 해킹 장면 및 다양한 기술적인 내용을 상당히 사실적으로
그리고 있다. 드라마 속 해커 그룹의 설도 실제 해킹 그룹인 어나니머스(Annoymous)에서모티브를
따온 것으로 알려져 있다.
이 밖에도 이 F-소사이어티 랜섬웨어는 또 다른 특이한 점을 갖고 있는데, 바로 록키(Locky)
랜섬웨어의 확장자명까지 암호화 대상에 포함하고 있다는 점이다. 록키 랜섬웨어에 감염되어 이미
암호화되어 있는 파일도 다시 암호화함으로써 사용자의 공포심을 극대화하기 위한 목적으로 추정된다.
[그림 4] 록키 랜섬웨어가 암호화한 파일까지 재암호화
F-소사이어티 랜섬웨어가 암호화를 완료한 후 감염 알림 메시지(랜섬
노트)를 보여주거나 복구 비용 지불 방법을 안내하는 내용 등은 확인되지 않았다. 감염 알림 메시지나
복구 비용 지불 안내 등은 나타나지 않는 반면 파일 실행 화면이 따로 나타나는 점으로 보아 아직 개발
중에 외부로 노출되었을 가능성도 있다.
V3 제품에서는 이 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
Trojan/Win32.AGent (2016.09.02.04)
기존의 랜섬웨어 외에도 다양한 변종들이 지속적으로 제작•유포되고 있다. 일단 랜섬웨어에 감염되면
암호화된 파일을 복구할 수 있는 방법이 거의 없다는 점에서 다른 어느 때보다 사용자들의 주의가
필요하다. 랜섬웨어 피해 예방 보안 수칙은 다음과 같으며, 특히 평소 중요한 데이터에 대한 주기적인
백업을 습관화하는 것이 바람직하다. 또는 사용 중인 V3 제품의 ‘랜섬웨어 보안 폴더’ 기능을 이용해
중요한 파일들이 랜섬웨어를 비롯한 악성코드에 의해 변조 또는 훼손되는 것을 방지할 수 있다.
<랜섬웨어 피해 예방 수칙>
1. 최신 버전의 OS 설치 (보안 업데이트가 제공되지 않는 구 버전 OS 사용 지양)
2. 사용 중인 주요 애플리케이션의 최신 보안 업데이트 적용
3. 인터넷 익스플로러 외에 엣지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등
다양한 브라우저 사용
4. 웹 브라우저, 자바, 플래시 플레이어의 최신 버전 사용
5. 자바, 플래시 플레이어가 반드시 필요하지 않을 경우 가급적 PC에서 제거
6. ‘주기적인 데이터 백업’의 생활화
7. 백신 프로그램의 최신 엔진 버전 적용 및 실시간 감시 기능 활성화
8. 불필요하거나 본래 목적에서 벗어난 무분별한 PC 사용 자제
9. P2P 또는 일부 무료 공유 사이트에서 유포되는 악성코드 감염 주의
10. 수상한 이메일 확인 및 첨부 파일 실행 자제
[출처 : 안랩((www.ahnlab.com)]