최근에 등장한 랜섬웨어 변종인 'Big Head'가 가짜 윈도우 업데이트와 마이크로소프트 워드 인스톨러를 통해 유포되고 있다. 이 랜섬웨어는 .NET 바이너리 형태로 유포되며, 대상 시스템에 3개의 AES-암호화 파일을 설치한다. 'Big Head' 랜섬웨어는 실행 후 레지스트리 자동 실행 키 생성, 필요한 경우 기존 파일 덮어쓰기, 시스템 파일 속성 설정, 작업 관리자 비활성화 등을 수행한다.
또한, 이 랜섬웨어는 고유한 ID를 생성하여 각 피해자를 구분하며, 이 고유 ID는 무작위로 생성하거나 %appdata%\ID 디렉토리에서 가져온다. 'Big Head' 랜섬웨어는 암호화 처리를 방해하는 프로세스를 종료한다. 암호화하는 도중 윈도우 업데이트의 가짜 화면을 띄워 사용자를 속이는 동시에, 시스템을 사용수 있도록 Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft, App Data 디렉터리는 암호화에서 제외한다.
트렌드마이크로는 'Big Head' 랜섬웨어의 다른 변종들을 분석해 몇 가지 차이점을 발견했다. 두 번째 변형은 랜섬웨어 기능을 유지하면서 피해자 시스템에서 민감 데이터를 수집하고 추출하는 기능을 포함하고 있었다. 세 번째 변형은 "Neshta"로 분류되는 파일 감염자를 특징으로 하며, 해당 감염자는 침해된 시스템의 실행 파일에 악성 코드를 삽입한다.
요약
- 최근에 등장한 랜섬웨어 'Big Head'가 가짜 윈도우 업데이트와 마이크로소프트 워드 인스톨러를 통해 유포되고 있다.
- 'Big Head'는 암호화하는 동안 가짜 윈도우 업데이트 화면을 보여줌으로써 사용자를 속인다.
- 'Big Head' 랜섬웨어 변종은 트렌드마이크로에 의해 분석되었고, 분석된 랜섬웨어 변종은 피해자의 시스템에서 민감 데이터를 수집하고 추출하는 기능을 포함하고 있다.
- 'Big Head'는 이전 소련 국가인 독립국가연합 회원국가의 시스템 언어가 설정되지 않은 경우에만 암호화를 진행한다.
- 악성 코드 조직은 계속해서 'Big Head'를 개발하고 변형하며, 다양한 접근 방식을 적용하고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.