|
사이버펑크 2077의 모바일 버전으로 위장한 랜섬웨어 침해사고분석팀 2020.12.18 |
|
|
사이버펑크 2077 모바일 버전으로 위장한 CoderWare라는 이름의 랜섬웨어가 윈도우, 안드로이드 기기를 타겟으로 배포되고 있다.
사용자를 속여 악성 프로그램을 설치하도록 유도하기 위해 저작권으로 보호된 소프트웨어의 크랙, 설치 파일 등의 형태로 배포한다
이번 주, 카스퍼스키의 악성 프로그램 분석가인 Tatyana Shishkova는 사이버펑크 2077 게임의 모바일 버전으로 가장한 안드로이드 랜섬웨어를 발견했다. 이 게임은 구글 플레이스토어를 사칭한 가짜 웹사이트에서 배포되고 있었다.
Shishkova는 트위터를 통해 "코더웨어 랜섬웨어가 하드코딩된 키를 사용한다"며 "필요하면 암호 해독기를 만들어 파일을 무료로 복구할 수 있다"고 말했다.
[그림 1. 안드로이드 랜섬웨어 앱의 소스 코드]
11월에는 윈도우용 사이버펑크 2077 설치 프로그램으로 위장된 버전이 발견되었다. 안드로이드 버전과 마찬가지로 이 랜섬웨어는 스스로를 코더웨어라고 부르지만, 실제로는 블랙킹덤 랜섬웨어의 변형이다.
[그림 2. 코더웨어 랜섬노트]
Windows 버전은 파이썬으로 컴파일된 실행 파일이며, 암호화된 파일의 확장명은 DEMON 이다.
[그림 3. 암호화된 파일]
현재 Windows 버전에서 하드코딩된 키를 사용하는지 여부는 알려지지 않았다.
출처 |
