> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
NAS 장비 공격하는 랜섬웨어 주의
삼바 취약점 이용해 전파…몸값으로 3800만원 요구
2017년 12월 07일 17:08:39 김선애 기자 iyamm@datanet.co.kr

하우리(대표 김희천)는 NAS 장비를 대상으로 전파 중인 랜섬웨어가 발견돼 국내 사용자들의 주의가 필요하다고 밝혔다.

이번에 전파 중인 랜섬웨어는 ‘스토리지크립트(StorageCrypt)’라고 명명됐으며, 리눅스 삼바(SAMBA) 취약점인 삼바크라이(SambaCry, CVE-2017-7494)를 통해 NAS 장비에 침투한다. 삼바는 파일 공유 서비스로, 윈도우와 리눅스를 혼용으로 사용하는 환경에서 많이 사용된다.

삼바크라이는 리눅스 버전 공격 도구이며, NAS 서버에 있는 파일을 AES-256과 RSA-4096 암호 알고리즘을 이용해 암호화한 후 .locked라는 확장자로 변경한다. 그리고 ‘_Read_ME_FOR_DECRYPT.html’ 파일명의 랜섬노트를 생성하여 사용자에게 몸값 비용을 안내한다. 또한 폴더마다 ‘Autorun.inf’와 ‘美女与野兽.exe’ 파일을 추가로 생성한다. Autorun.inf 파일은 NAS에 접근하는 사용자들에게 美女与野兽.exe 파일을 전파하며, 이 파일은 백도어 악성코드로 확인됐다. ‘스토리지크립트’ 랜섬웨어가 요구하는 몸값은 2비트코인(약 3800만 원)이다.

하우리 CERT실은 “해커들이 중요 자료들이 많이 보관되어 있는 NAS 장비를 노리고 있다. 삼바 환경의 NAS 장비 사용자들은 해당 장비의 보안 패치를 실시하여 피해를 사전에 예방 할 수 있도록 해야 한다”고 밝혔다. 

   

▲‘스토리지크립트’ 랜섬웨어의 랜섬노트 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  NAS, 랜섬웨어, 삼바, 리눅스
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr