플래시를 이용하여 사이트만 봐도 랜섬웨어에 걸리게 하는, Drive by Download 방식은 웹페이지의 보안 허점이 있어야 가능한 방법입니다. 따라서 주로 보안이 허술한 소규모 사이트가 랜섬웨어 감염경로로 이용되는데, 어제 갑자기 일본에서 랜섬웨어가 퍼지기 시작하였습니다.

신버전의 TeslaCrypt

테슬라 크립토는 2015년 2월에 등장한 신 바이러스로 등장 초기에는 상당히 허술한 바이러스였으나 지금은 매우 강력한 랜섬웨어 중 하나로 꼽힙니다.

현재 일본에서 퍼지고 있는 랜섬웨어도 기존 랜섬웨어와 비슷하게 광고의 플래시 보안 허점을 이용하는 것으로 알려졌습니다. 크롬이나 파이어폭스등을 사용하면서 플래시를 차단하였다면 어느 정도 안전할 것으로 보입니다.

외장 스토리지 까지 모두 감염시키며 감염속도가 매우 빠른 것으로 알려져 있고 현재 ‘카스퍼스키’ 백신이 이를 감지하는데 성공하며 ‘비트디펜더’도 감지가 가능하도록 업데이트하였다고 합니다.

테슬라 크립토가 암호화하는 파일은 다음과 같습니다.

sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod, .aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik, .EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc,.odb, .Ep, .odm, .Reageer, .paragraaf, .odt

주로 프로젝트 파일을 노리며 피해가 최대한 크도록 유도하고 있습니다. 오히려 동영상/음악파일은 암호화하지 않는 것으로 알려졌습니다. 암호화를 풀어주는 대가로 테슬라 크립토는 500달러를 요구하고 있다고 합니다. 아직까지 테슬라 크립토는 신생 랜섬웨어로써 암호화를 풀 방법은 없습니다. 하지만 돈을 보내준다 하여도 암호화를 풀어준다는 보장은 없습니다. 기존 랜섬웨어들과 같이 윈도우 복원 시점도 삭제하므로 기존의 백업되어 있는 파일이 없다면 위험합니다.

 

피해 사이트(추정)

・やらおん!
・ハムスター速報
・はちま起稿
・オレ的ゲーム速報@刃
・ニュー速VIPブログ
・暇人速報
・アルファルファモザイク
・あじゃじゃしたー
・痛いニュース
・VIPPERな俺
・キニ速
・哲学ニュース

추정 사이트는 별로 유명한 사이트는 아니기 때문에 피해가 매우 커지지는 않을 것으로 보입니다. 하지만 위 사이트 이외에도 랜섬웨어 배포처로 이용되는 사이트가 있을수 있기 때문에 주의가 필요합니다. 각 브라우저별 플래시차단 방법은 ‘신세대 인질극, 랜섬웨어 바이러스 대비법'(클릭) 을 참고해 주시길 바랍니다.

LEAVE A REPLY

Please enter your comment!
Please enter your name here