무늬만 카지노 꽁 머니? 카지노 꽁 머니 감염된 것처럼 속이는 ‘이미테이션’ 악성 파일 주의!

안녕하세요. 이스트시큐리티입니다.

카지노 꽁 머니에 감염된 것처럼 사용자를 속이는 ‘이미테이션(모방)’ 유형의 악성파일이 발견되어, 주의가 필요합니다.

▲ 페트야 카지노 꽁 머니 ‘이미테이션 악성파일’ 실행 시 보여지는 안내 화면

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 새롭게 발견된 악성파일은 카지노 꽁 머니에 감염된 것으로 착각할 수 있도록 정교하게 모방된 화면을 보여주지만, 실제로는 사용자 PC에 저장된 파일을 암호화하지는 않습니다.

하지만 사용자에게 보여지는 화면은 전 세계적으로 널리 알려진 페트야(Petya) 카지노 꽁 머니 감염 화면과 동일하게 모방되어 있어, 대부분의 사용자가 이 카지노 꽁 머니에 감염된 것으로 착각할 가능성이 큽니다.

▲ 파일 시스템을 수정 중인 것으로 위장된 화면

이번 악성파일이 실행되면 실제 페트야 카지노 꽁 머니에 감염되었을 때와 흡사하게, 사용자의 하드디스크(HDD)에 문제가 발생해 파일 시스템(NTFS)을 수정하고 있는 것처럼 움직이는 화면을 보여줍니다.

특히 파일 시스템 수정이 실제로 진행되는 것처럼 진행률이 0%부터 100%까지 증가하도록 보여지기 때문에, 일반 사용자가 이 화면이 조작된 가짜라는 것을 알아채기는 매우 어렵습니다.

▲ 해골 이미지를 보여주는 화면

가짜 파일 시스템 검사가 100%까지 완료되면, 이어서 실제 페트야 카지노 꽁 머니 감염 시 나타나는 해골 모양의 이미지와 함께 사용자의 입력을 대기하는 화면이 나타납니다.

이 화면에서 사용자가 키보드로 문자를 입력을 할 경우 페트야 카지노 꽁 머니에 감염되었다는 가짜 안내 문구가 나타나며, 특정 브라우저(토르, Tor)로만 접근할 수 있는 다크웹 주소로 사용자가 접속하도록 유도합니다. 다만 ESRC의 분석 결과 안내되는 다크웹 주소는 과거 페트야 카지노 꽁 머니 공격에서 사용된 동일한 주소지만, 현재 해당 주소로의 실제 접속은 이루어지지 않는 상태입니다.

이 밖에 ESRC는 이번 악성파일은 2017년 7월 10일 제작되었으며, 개발자가 사용 중인 운영체제는 ‘독일어’로 추정되고 있습니다.

이스트시큐리티는 한국인터넷진흥원(KISA)과 ‘카지노 꽁 머니 정보수집 허브운영 협력 채널’을 통해 최신 정보를 실시간 공유함과 동시에, 국외 발생 신규 카지노 꽁 머니의 국내 유입 전 사전차단에 긴밀한 공조 체제를 유지하고 있습니다.

현재 통합 백신 ‘알약(ALYac)’에서는 해당 악성파일을 탐지명 ‘Trojan.Ransom.PetyaScam’으로 진단 후 치료하고 있습니다.