본문 바로가기

새소식

신종 비트코인 랜섬웨어 GermanWiper



신종 비트코인 랜섬웨어 GermanWiper는 돈을 지불해도 데이터 접근을 복구해 주지 않아 피해자를 두 번 울리는 악성코드다. GermanWiper는 피해자의 데이터를 완전 삭제하고 나서 피해자 측에는 데이터를 암호화시켰다는 거짓 정보를 전달한다. 그러고 나서 데이터 복구 조건으로 0.15BTC(약 2백만원)를 요구한다.


Bleeping Computer에 따르면 현재까지 GermanWiper는 주로 독일 소재 윈도 사용자를 대상으로 하고 있다. GermanWiper는 피싱 수법을 통해 업무용 컴퓨터를 감염시킨다. 해커들은 구직자가 보낸 메일로 위장하여 GermanWiper 악성코드를 심는다고 한다.


Bleeping Computer 게시판에 올라온 GermanWiper 악성코드 피해사례에 따르면 피싱 이메일은 문법과 철자가 정확하여 상당히 진짜 같은 입사지원서로 위장했다고 한다. "피해자들은 Bundesagentur fur Arbeit 즉 구인구직센터에 구인광고를 냈기 때문에 입사지원서 수령을 에상하고 있었으며 인터넷을 통해 수집한 정보에 따르면 다른 피해자들 역시 구인을 하고 있는 상태였다. 사진 등 정보는 원 당사자로부터 탈취됐다고 여겨진다. 문법과 철자가 정확했으며 모든 내용이 그럴 듯하게 꾸며졌기 ㄸ문에 일반적인 사용자 입장에서 이 함정을 피해기는 어려웠다고 할 수 있다."


Lena Kretshemer라는 이름으로 발송된 피싱메일 사례를 보면 메일 제목이 'Ihr Stellenangebot - Bewerbung' 즉 '귀하의 구인의뢰 - 지원 이라고 쓰여 있다. 해당 이메일은 zip 압축파일 확장자를 가진 첨부파일을 포함하고 있다. 이 파일의 압축을 풀면 PDF 문서처럼 생긴 파일 두 개가 나타난다. 하지만 이들은 PDF 파일이 아니라 악성코드 다운로드 및 설치를 유발하는 링크다. 하지만 피해자의 데이터를 암호화한 다음 해커가 보유한 계좌로 비트코인 입금을 요구하는 일반적인 랜섬웨어와는 달리 GermanWiper의 경우 데이터에 0과 1을 덮어씌우는 방식으로 데이터를 완전히 지워 버린다. 다만 모든 데이터를 삭제하진 않고 일부 파일과 폴더는 남겨 두는데 특히 윈도 OS 부팅과 인터넷 브라우징에 필요한 파일 및 폴더는 남게 된다. GermanWiper 랜섬웨어로 삭제된 데이터를 복구할 방법이 없기 때문에 해당 악성코드 피해자는 비트코인을 단 한 푼도 송금할 필요가 없다.



원문

Evil Bitcoin Ransomware Won't Return Your Data - Even After You Pay

Mark Emem, CCN, 2018.08.07.

이미지: Shutterstock

https://www.ccn.com/crypto/bitcoin-ransomware-germanwiper/2019/08/07/




<소프트메이트>

암호통화, 정보기술, 보안제품 블로그


반응형