분석 정보/랜섬웨어 분석 정보

Ransomware 변종의 지속적 출현

TACHYON & ISARC 2011. 1. 20. 11:19

1. 개 요

 

지난번 글에서 언급하였던 Ransomware의 변종이 해외에서 또 다시 발견되었다. Ransomware는 주로 사용자의 PC에 존재하는 특정 파일들을 암호화하거나 배경화면을 잠그고 제작자가 원하는 화면을 사용자에게 보여주어 암호해제를 위한 키 입력을 주문 등의 증상을 보이며, 복호화를 위한 키 값을 제공하는 조건으로 금품을 요구하고 있다.

업무상 중요한 문서 등이 암호화되거나 PC를 정상적으로 사용할 수 없는 경우가 발생한다면 심각한 금전적 피해가 일어날 수 있다.
이번에 발견된 변종은 어떠한 방식을 취하여 사용자들에게 피해를 줄 수 있는지 알아보도록 하자.

참고 : 금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

참고 : Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

2. 감염 경로 및 증상

Ransomware는 다양한 경로를 통하여 유포 및 감염이 이루어질 수 있다. 공인된 기관이나, 사회적 이슈를 악용해 이메일 상의 첨부 파일이나 링크형태로 유포를 시도할 수 있고 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), Adobe Flash 등의 취약점을 이용한 웹사이트 변조를 통해 유포하는 방법도 가능하다.

이번에 발견된 악성파일은 하기의 그림과 같이 동영상 관련 파일명으로 위장하고 있다.

우선 감염이 이루어지면 하기의 그림과 같이 바탕화면을 잠그고 복호화 키 입력을 요구하는 화면을 사용자에게 보여준다.

또한, PC를 재부팅 해도 마찬가지 증상을 보이며, 위 그림과 같이 특정키 값에 대한 입력을 요구하고 있다.

3. 예방 조치 방법

현재 해당 Ransomware로 인해 특별한 피해 사례는 보고되지 않고 있다. 다만, Ransomware의 특성상 중요한 파일이 암호화되어 해당 파일을 사용할 수 없거나 위와 같이 PC를 정상적으로 사용할 수 없을 경우 심각한 피해를 입을 수 있기 때문에 해당 악성파일 제작자는 이러한 점에 주안점을 두고 금전적 이득을 목적으로 지속적인 변종을 제작 및 유포하고 있다.

이와 같은 Ransomware로 부터 안전하기 위해서는

▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치, ▶중요한 파일 등의 경우 다른 저장매체를 통한 백업의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 "ON" 상태로 유지

하는 등의 관심이 무엇보다 중요하다.