올해 3월 첫 등장, 말하는 랜섬웨어로 유명세
10월 들어 4자리 랜덤한 확장명 패턴으로 파일 암호화 방식 변경

지난 3월 처음 등장한 이후, 말하는 랜섬웨어로 유명세를 탄 ‘Cerber(케르베르)’가 진화를 거듭하면서 최근에는 확장명을 랜덤하게 변화시키는 변종이 출현한 것으로 드러났다.

▲ ‘Cerber’ 랜섬웨어에 감염된 PC의 바탕화면 모습(출처: 울지 않는 벌새 블로그)

보안전문 블로거 ‘울지 않는 벌새’(이하 벌새)에 따르면 Cerber 랜섬웨어가 10월 초부터 ‘(Random 파일명).(4자리 Random 확장명)’ 패턴으로 파일 암호화를 하는 방식으로 변경이 이루어졌다.

원래 Cerber는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 지닌 랜섬웨어로, 장기간 활발하게 유포가 이루어져 많은 피해자를 양산시켜 왔다.

이에 마이크로소프트(Microsoft)에서는 지난 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작한 바 있다.

우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점을 통해 자동 감염이 이루어지는 방식으로 전파됐다. 그러던 중 10월에 접어든 이후부터 4자리 랜덤한 확장명 패턴으로 파일 암호화를 하는 방식이 변경된 것이다.

해당 방식으로 최초 감염이 이루어진 Cerber 랜섬웨어는 러시아에 위치한 IP 대역을 타깃으로 UDP 통신 프로토콜을 통해 특정 시그니처 값을 포함한 디도스(DDoS) 공격을 시도하는 행위를 확인할 수 있었다는 게 벌새의 설명이다.

이후 ‘C:\Windows\System32\wbem\WMIC.exe’ shadowcopy delete 명령어를 통해 시스템 복원을 하지 못하도록 삭제를 진행한 후, 오프라인 암호화(Offline Encryption) 형태로 파일 암호화를 수행하는 것으로 나타났다.

암호화된 파일은 (Random 파일명).(4자리 Random 확장명) 패턴으로 변경되며 파일 암호화가 완료될 경우 taskkill /f /im ‘(Cerber 악성 파일명).exe’ 명령어를 통해 자신을 종료 처리하는 것으로 분석됐다.

Cerber 랜섬웨어를 통한 파일 암호화 완료 시점에서는 바탕화면 배경을 ‘C:\Users\%UserName%\AppData\Local\Temp\tmp(4자리 Random).bmp’ 그림 파일로 변경하게 된다. 또한, 기존과 마찬가지로 텍스트 음성 변환(TTS) 기능을 이용해 “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!” 목소리를 출력하여 암호화 사실을 안내하게 된다.