새로운 랜섬웨어 아나토바(Anatova)의 등장 (2019.01.25)
탐지를 피해 암호화 시작, 백업 파일은 10번 덮어쓰기로 복구 불가 상태로 만듦
▶ 새로운 랜섬웨어 아나토바의 등장으로 미국을 비롯해 9개국 이상에서 피해자 다수 양산
- 아나토바(Anatova)는 발데크(Valthek)에서 발견되었으며 ransomware-type 악성 프로그램으로 분류
- Anatova는 암호화 된 파일의 이름에 확장자를 추가하지 않고 아이콘을 변경하지 않기 때문에이 다른 랜섬웨 유형과 다름
- 난독화 기능이 뛰어나고 네트워크 공유자원까지 감염시킬 수 있는 아나토바의 등장에 대해 경고
- 모듈 구조로 되어있어 공격자들이 추가로 기능을 덧붙일 수도 있는 점도 위협적으로 작용
- 아나토바(Anatova)는 발데크(Valthek)에서 발견되었으며 ransomware-type 악성 프로그램으로 분류
- Anatova는 암호화 된 파일의 이름에 확장자를 추가하지 않고 아이콘을 변경하지 않기 때문에이 다른 랜섬웨 유형과 다름
- 난독화 기능이 뛰어나고 네트워크 공유자원까지 감염시킬 수 있는 아나토바의 등장에 대해 경고
- 모듈 구조로 되어있어 공격자들이 추가로 기능을 덧붙일 수도 있는 점도 위협적으로 작용
▶ 아나토바는 비밀 P2P에서 처음으로 발견되었으며, 사용자들이 의심하지 않고 받게 하기 위하여 게임이나 앱의 아이콘으로 위장
- 또한, 사전 탐지를 피하기 위하여 다양한 행동을 취하며, 감염된 시스템 내에서 최대한 많은 파일을 찾아내 암호화시킴
- 이후 700달러 상당의 암호화폐를 송금하라는 협박 편지를 띄워 사용자들에게 돈을 요구
- 이 프로그램은 단순히 파일을 암호화 할 수 없게 만들고 파일을 열 수 없으며 "ANATOVA.TXT"텍스트 파일 내에 몸값 요구 메시지를 만듬
- 몸값 메시지의 이름은 Anatova ransomware의 버전에 따라 다를 수 있습니다.
◆ 아나토바 동작방식
① 샌드박스 환경에서 실행되는 것을 막기 위해 가상 기계 탐지 절차 수행
② 특정 몇 개 국가*에서 피해를 일으키지 않도록 국가 설정 내용 확인
* 시리아, 이라크, 인도 및 이전 소비에트 연방 소속국가 등
③ 1MB이하의 파일들과 네트워크 공유 자원을 찾아 암호화
▶ 아나토바는 랜섬웨어 샘플마다 고유한 키를 가지고 있기 때문에 마스터키가 존재하지 않음
- 이는 피해자들마다 각각 다른 키를 확보해야만 랜섬웨어 감염 파일 복구가 가능하다는 것을 의미
- 이후 메모리를 비워 랜섬웨어 정보를 파악할 수 있는 내용을 삭제하고, 백업파일을 10회 이상 덮어쓰기하여 사용자가 복호화 키 없이 복구할 수 없도록 함
- 아나토바가 완성형 멀웨어가 아닌 프로토 타입으로 추정하며, 이후 더 진화된 랜섬웨어 공격이 실행될 것으로 예상
- "ANATOVA.TXT"파일의 메시지는 피해자에게 모든 파일이 암호화되었음을 알리고 해독하기 위해 10 개의 DASH 암호문과 동일한 비용으로 해독 도구를 구입하도록 (이것은 필요한 양의 암호 해독을 제공된 지갑 주소로 전송하여 구입)
- 지불이 수신되면, Anatova의 피해자는 다음 이메일 주소 중 하나를 지불하고 편집되지 않은 "ANATOVA.TXT"파일 (또는 다른 몸값 메시지)를 만들기 위해 사용되는 주소를 전송해야합니다 :
(anatova2@tutanota.com 또는 anatoday@tutanota.com)
- 그들은 성공적인 해독을위한 올바른 도구를 가지고 있다는 것을 '증거'로 200Kb보다 크지 않은 하나의 JPG (.jpg) 파일을 무료로 해독합니다.
- ransomware-type 감염을 설계하고 전파하는 대부분의 사이버 범죄자는 고유 키를 생성하는 암호 (대칭 또는 비대칭)를 사용합니다.
- 따라서 각 희생자는 개별 키를받으며 다른 키는 작동하지 않습니다.
- 또한 사이버 범죄자는 키로 제어되는 원격 서버에 키를 저장합니다.
- 그들은 '깰'수없는 암호를 사용하기 때문에, 랜섬웨어 피해자는 다른 선택의 여지없이 남겨두고 사이버 범죄자들에게 연락합니다.
- 안타깝게도 현재 Anatova의 암호화를 무료로 해독 할 수있는 도구는 없습니다.
- 이 경우 가장 좋은 옵션은 기존의 데이터 백업을 사용하여 모든 데이터를 복원하는 것입니다.
▶ 시사점
○ ‘18년의 경우 다른 종류들의 위협이 늘어나 랜섬웨어가 주춤한 것으로 보이지만, 현재도 랜섬웨어 공격은 활발하게 진행중으로 파악됨
○ 랜섬웨어 공격 예방을 위해서 의심되는 파일 열람 금지 및 오프라인 백업 등의 조치 필요
▶ 관련문의 :
- 뉴딜코리아 버그바운티팀(레드카우)
- 한국인터넷진흥원 침해사고대응단 종합대응팀
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
