최근 사이버 공격자들이 새로운 유포 방식인 스테가노그래피(SteganoGraphy)기법을 이용해 랜섬웨어가 등장하였습니다.

'스테가노그래피'란 그리스어로 "감추어져있다"라는 뜻으로 "Stegano"와"Graphos"의 합성어로  “감추어 쓰다”라는 의미입니다.

이번 악성코드는 이메일을 통해 Windows 스크립트 파일(.wsf)의 형식의 악성 스크립트 파일을 첨부해 유포되었습니다.

· 이메일에 Windows 스크립트(.wsf) 파일이 첨부 

· 스크립트 내부 명령어가 동작하여 특정 URL에 접속해 ‘arrival.jpg’, ‘X8IOI.jpg’등의 이미지 파일을 다운

▷ 스테가노그래피 기법으로 숨겨져있는 압축 포맷을 변경하고 이미지 헤더 부분을 제거하면 ZIP 형식의 압축 포맷이 포함되어있으며 압축파일 내부에는 ‘sync.exe’, ‘readme.html’, ‘readme.png’ 파일이 존재합니다.

· ‘readme.html’, ‘readme.png’ 파일은 랜섬웨어 감염을 안내에 사용되는 파일들이며 ‘sync.exe’ 파일이 랜섬웨어 기능을 수행하는 악성파일입니다.

· PC 내 파일 암호화 및 확장자 변경 (기존 파일명 .kk)

· 바탕화면에 ‘README” 폴더를 생성하고 내부에 랜섬 노트와 비트코인 금액과 개인키 파일 생성

· 복호화 안내 0.1 비트코인을 요구

· Windows, Program Files (x86), Program Files, Program Data, Winnt, System volume information, Desktop\readme\,  recycle.bin\ 경로는 암호화 대상에서 제외

정상적인 파일로 인식되는 이미지 파일에 스테가노그래피 기법을 결합하여 랜섬웨어를 유포를 하는 방식으로 랜섬웨어의 유포 방식은 점점 다양하게 변화되고 있습니다.

따라서, 사용자들은 의심스러운 이메일에 첨부 파일은 항상 주의해야 하며 화이트 리스트 기반에 프로세스 통제 솔루션을 통해 악성코드에  우회 및 변조 기법을 이용하여 실행되는 프로세스 통제로 사전 예방이 가능합니다.