한국재정정보원

개인정보처리방침

사이버안전센터 운영

랜섬웨어의 변종 - FAUST
제목 랜섬웨어의 변종 - FAUST
작성자 사이버보안팀 등록일 2024-03-19 조회수 629
내용

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C2.png
2024년 1월 악성코드 유형별 진단 수 비교 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C21.png
상위 10개의 랜섬웨어 제품군(출처:Bitdefender)  

Faust 랜섬웨어 

2018년 12월에 처음 발견된 포보스(Phobos) 랜섬웨어는 주로 소규모 기업을 대상으 로 하는 사이버 위협이며, 상위 10개의 랜섬웨어 제품군 중 하나이기도 합니다. Faust 랜섬웨어는 2019년 이후에 등장했으며, 피해자의 컴퓨터에 있는 파일을 암호화하도록 설계된 악성 소프트웨어 그룹, 포보스 랜섬웨어의 변종입니다. 최근 Faust 랜섬웨어를 전파하는 것을 목표로 하는 VBA 스크립트가 포함된 오피스 문서가 발견되어 이슈가 되 기도 했습니다.

Faust 랜섬웨어는 주로 감염되는 컴퓨터에 저장된 파일 유형을 대상으로 삼고 암호화 알고리즘을 사용해 파일을 잠그면서 진행되며, 피해자는 잠겨진 문서, 이미지, 데이터베 이스 및 기타 여러 파일에 액세스할 수 없어지고, 사용할 수 없게 됩니다. 그런 다음 Faust 랜섬웨어 운영자는 암호 해독 키를 제공하겠다고 약속하며 피해자에게 금전적 요구 하는 방식으로 이득을 취하게 됩니다.  

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C3.png

암호화 제외 리스트(출처:포티넷) 

Faust 랜섬웨어 감염 과정

암호화 초반 과정 

Faust 랜섬웨어는 사회 공학적 전술을 이용하여 가짜 이메일, 메시지로 사람들 을 속여 중요한 정보를 공개하거나 악성 콘텐츠를 다운로드하도록 합니다. 그런 다음, 일반적으로 손상되고 취약한 RDP(원격 데스크톱 프로토콜) 연결을 악용 하여 시스템에 대한 무단으로 접근할 수 있는 권한을 얻습니다. 시스템을 감염 시키면 Faust는 강력한 암호화 알고리즘을 사용하여 감염된 컴퓨터나 네트워 크의 여러 파일을 암호화합니다.


암호화 제외 리스트 

Faust 랜섬웨어는 몇가지 파일 확장자, 경로, 파일명을 제외하고 암호화합니다. 포보스 이외의 랜섬웨어에 감염됐을 경우 이중으로 암호화 될 수도 있고 시스템 을 파괴하거나 랜섬 정보를 암호화하는 것을 방지하기 위함으로 보입니다.  

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C41.png

암호화된 파일 이름(출처:PCrisk)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C51.png
Info.txt(출처:PCrisk)

암호화된 파일 이름 변경 

암호화된 파일은 이름이 변경됩니다. Faust 랜섬웨어는 각 피해자의 고유 ID인 고유 식별자를 파일 이름에 추가합니다. 또한 파일 이름에는 공격자의 이메일 주 소(gardex_recofast@zohomail.eu)가 포함되어 있습니다. 이러한 암호화된 파일을 구별하기 위해 새 파일 확장자 ‘faust’를 추가하고 디렉터리 내에서 info.txt 및 info.hta를 생성합니다. 이 파일들은 협상을 위해 공격자와 연락을 취하는 수단으로 사용됩니다. 


암호 해독 방법 전달 

Faust 랜섬웨어는 암호화 과정을 거쳐 info.txt, info.hta 두 개의 랜섬 노트를 전달하여 피해자가 공격에 대해 알 수 있도록 합니다. 랜섬노트에서 Faust 랜섬 웨어는 암호 해독 키의 대가로 비트코인 지불을 요구합니다. 구체적인 금액은 피 해자가 공격자와 얼마나 빨리 접촉을 하는지에 따라 다릅니다.

결론

Faust 랜섬웨어 같은 새로운 변종이 등장한 것처럼, 랜섬웨어 환경은 계속해서 진화하고 있습니다. 진화하는 랜섬웨어를 예방하기 위해 안전한 보안 환경을 계속해서 유지해야 할 것이며, 소프트웨어를 최신 상태로 유지하고, 데이터를 백업하는 등의 개인적인 노력도 필요합 니다. 또한 공격이 발생하면 신속하고 결단력 있는 조치가 필요합니다. 감염된 시스템을 격리하고, 랜섬웨어 변종을 식별하고, 관련 기관 에 사고를 보고해야 하는 것도 명심하시길 바랍니다. 


Faust 랜섬웨어 예방 방법

• 소프트웨어를 최신 상태로 유지

: 운영 체제와 프로그램을 정기적으로 업데이트하여 소프트웨어의 취약점을 지속적으로 점검하고 새로 탐지된 위협으로부터 보안 상태를 유지하기 위해 보안 기준을 패치하도록 합니다. 

• 평판이 좋은 바이러스 백신 소프트웨어 사용

: 평판이 좋은 바이러스 백신 소프트웨어를 사용하여 멀웨어에 대한 보호를 크게 강화하고 정기적으로 업데이트 되는지 확인합니다. 

• 의심스러운 이메일 주의

: 피싱 이메일은 사이버 공격자가 사용하는 가장 일반적인 공격 방법 중 하나이므로 의심스러운 이메일 내의 파일을 열거나 링크를 클릭 하지 말아야 합니다. 

•데이터 백업

: 랜섬웨어 공격 시 데이터가 완전히 손실되지 않도록 외장하드나 클라우드에 정기적으로 데이터를 백업해야 합니다. 
이전 글&다음 글
이전 글 조심하세요, 낮은 성공 확률로 벌어지는 크리덴셜 스터핑
다음 글 디도스 공격, 여전히 위협적인 존재


  • 담당부서 : 사이버보안부
  • 전화번호 : 02-6908-8235
  • 담당자 : 심**

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.5점 / 47명 참여