아직 국내에서는 배드래빗 감염 사례가 보고되지 않았으나(10월 29일 기준), 지난 5월 발생한 워너크라이 랜섬웨어의 경우 해외에서 감염이 확산된 후 며칠 만에 국내로 들어와 상당한 피해를 입힌 바 있어 더욱 각별한 주의가 필요하다. 특히 V3 엔진 버전 업데이트, OS 및 주요 애플리케이션 보안 업데이트 등 피해 방지를 위한 사전 조치가 강조된다.

이와 관련해 안랩은 현재까지 확인된 배드래빗 랜섬웨어를 상세히 분석해 블로그를 통해 공개하는 한편, 배드래빗 랜섬웨어 관련 특징(시그니쳐)을 V3 등 주요 제품군에 신속히 반영했다. V3을 쓰는 사람은 엔진 버전을 최신 상태로 유지 또는 업데이트해야 배드래빗 감염 가능성을 최소화할 수 있다.

안랩 시큐리티대응센터(ASEC, AhnLab Security Emergency response Center)의 악성코드 분석가들이 블로그(http://asec.ahnlab.com/)를 통해 공개한 배드래빗 랜섬웨어의 주요 특징을 살펴보자.

배드래빗 또는 디스크코더(Diskcoder)로 불리는 이 랜섬웨어는 어도비 플래시 플레이어(Adobe Flash Player) 설치 파일로 위장해 주로 드라이브-바이-다운로드(Drive By Download) 방식을 통해 유포되었다. 이렇게 사용자 컴퓨터에 설치된 악성 파일은 ▲ MBR 변조 및 부트 파티션 암호화를 위한 추가 악성 파일 설치(drop) ▲ 감염 컴퓨터 내 파일 암호화 ▲ 네트워크를 통한 감염 확산 ▲ 원격 접속을 위한 계정정보 탈취 등의 악의적인 행위를 수행한다. 이 밖에도 페트야(Petya) 랜섬웨어(시스템 전부를 파괴하는 랜섬웨어)와 유사한 코드를 갖고 있다는 점 등이 특징이다.

사용자가 컴퓨터를 재부팅할 때 마다 금전을 요구하는 화면을 노출하기 위해 컴퓨터 부팅과 관련 있는 MBR(Master Boot Record) 영역을 변조하고 부트 파티션을 암호화한다. 아래 [그림 2]는 디스크코더(배드래빗) 랜섬웨어에 의해 MBR과 부트 파티션이 변조 및 암호화된 후 재부팅할 때 나타나는 화면이다.

디스크코더(배드래빗) 랜섬웨어가 암호화하는 파일의 확장자명은 다음과 같다.

위 표에서 볼 수 있는 것처럼 디스크코더(배드래빗) 랜섬웨어는 여전히 많은 기업 및 기관에서 허술한 계정 이름과 패스워드를 사용하고 있다는 점을 노리고 있다. 따라서 공유폴더(SMB)를 이용 중인 기업이나 기관에서는 복잡한 비밀번호를 설정하고 계정 정보 공유를 최소화하는 등의 조치가 시급하다.

디스크코더(배드래빗) 랜섬웨어에 관한 보다 상세한 분석 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.

▶ ASEC 블로그 바로가기 http://asec.ahnlab.com/1082

한편, V3 제품 및 지능형 위협 대응 솔루션 AhnLab MDS는 디스크코더(배드래빗) 랜섬웨어를 각각 아래와 같은 진단명으로 탐지 및 차단하고 있다.

<V3 제품군 진단명>

- Trojan/Win32.Diskcoder (2017.10.25.04)

- Trojan/Win64.WinCred (2017.10.25.04)

- Trojan/Win32.WinCred (2017.10.25.04)

<AhnLab MDS 진단명>

- Trojan/Win32.Diskcoder (시그니처 기반 진단명)

- Malware/MDP.SystemManipulation (행위분석 기반 진단명)