얼마 전 전세계를 휩쓸었던 워너크라이부터
거액의 금액을 지불하고 암호키를 받아 데이터를 복구한 대형 웹호스팅 업체 사건 등
랜섬웨어가 우리 곳곳에 무서운 피해를 입히고 있습니다.
또한 아직까지도 예방이 최선의 방법일 뿐
확실한 랜섬웨어의 치료방법은 없지요.
게다가 최근 들어 다양한 방법으로 랜섬웨어가 유포되고 있어
정보보안 담당자라면 항상 주의해야 하는데요,
오늘은 대표적인 랜섬웨어부터 다양한 유형으로 퍼지고 있는 신종 랜섬웨어,
예방방법 등에 대해 알려드리겠습니다.
평소 민감한 정보, 중요한 정보를 다루는 담당자라면
꼭 읽어보시기 바랍니다^^
대표적인 랜섬웨어 7
1. Crypt0L0cker
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 (office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive
▲ 특징
- 파일의 확장자 encrypted로 변경
- 파일을 암호화한 폴더 내에 2개의 파일을 생성 (DECRYPT_INSTRUCTIONS.*)
- 시스템 보호 기능의 백업본 삭제 후 동작
2. CryptoWall3.0
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 (xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive
▲ 특징
- 파일의 확장자 변조 없음
- 파일을 암호화한 폴더 내에 3~4개의 파일 생성 (HELP_DECRYPT.*)
- 파일의 고유 서명 값 위변조
3. CryptoWall3.0 변종
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
▲ 피해 범위
- PC에 연결된 자주 사용하는 파일
(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일(src) 실행 등
- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, scr 등)
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 exe 등)
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
▲ 침투 방식
- E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)
- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)
새로운 유형으로 등장하는 랜섬웨어
랜섬웨어의 지능화, 고도화로 이전과 다르게
다양하고 교묘한 방법으로 랜섬웨어가 유포되고 있습니다.
▲ 디지털 서명을 탑재한 랜섬웨어
파일 무결성을 보장하는 디지털 서명을 탑재한 랜섬웨어 입니다.
흔치 않은 랜섬웨어 이지만,
디지털 서명은 파일 신뢰를 구분하는 최소한의 인증으로
사용자가 의심 없이 파일을 열어볼 수 있기 때문에
1차 필터링을 우회화고 쉽고 빠르게 감염시킬 수 있습니다.
또한 기존 랜섬웨어가 웹사이트 주소로 접속을 유도하는 것과 다르게
이메일 주소를 활용해 연락을 유도하고 있습니다.
▲ 온라인 광고로 유포되는 랜섬웨어
음악, 영상 등의 콘텐츠를 사용하면서 무심코 본 광고 때문에
랜섬웨어에 감염될 수 있습니다.
온라인 광고를 변조해 악성코드를 유포하는 기법인데요,
사용자가 사이트에 접속한 뒤 광고를 클릭하면 광고에 숨겨져 있는 악성코드로 인해
랜섬웨어에 감염되는 방식입니다.
공격자는 미리 제작해 놓은 위장 광고 서버에서 악성코드를 전송하는데
해당 서버의 도메인이 실제 광고 서버와 유사하기 때문에
정상으로 착각하기 쉽습니다.
▲ 실행 파일로 위장한 랜섬웨어
유명 유틸리티 프로그램의 업데이트 파일로 위장한 랜섬웨어 입니다.
해당 파일 실행 시 대부분의 랜섬웨어 증상과 비슷하게
사용자 PC 내 주요 파일들이 암호화 되고 비트코인을 요구하는 화면이 나옵니다.
해당 악성 파일은 파일명이 'Setup.exe'로 돼 있어 사용자가 정상 파일로 생각하기 쉽습니다.
하지만 정상 파일과 아이콘 모양과 디지털 서명이 다르기 때문에
조금만 관심을 가진다면 쉽게 구분할 수 있습니다.
▲ 안드로이드 기반의 랜섬웨어
안드로이드에서 동작할 수 있는 랜섬웨어가 발생했는데요
문제는 별다른 기술이 없는 사용자들도
손쉽게 랜섬웨어를 만들 수 있는 툴까지 제작되었다는 점 입니다.
앱으로 구성된 제작 툴은 쉽게 다운로드 할 수 있고
자신의 기기를 이용해 빨게 안드로이드 랜섬웨어를 생성할 수 있습니다.
해당 앱으로 만든 악성코드는 기기 스크린을 잠그고
피해자가 언락코드를 입력하도록 텍스트 박스를 표시하는
전형적인 락드로이드(Lockdroid) 방식을 따르고 있는데요,
이러한 앱을 사용하면 해킹이나 범죄에 관심이 있는 누구나
코드 한 줄 작성하지 않아도 바로 사용할 수 있는 랜섬웨어를 개발할 수 있기 때문에
앞으로 랜섬웨어 변종들이 폭팔적으로 증가할 수 있습니다.
랜섬웨어 예방요령
감염이 되고 나서 해결책이 없는 랜섬웨어,
그렇다면 미리 예방해야겠죠?
소프트캠프에서 랜섬웨어를 예방하는 5가지 방법을 알려드리겠습니다^^
▲ CDR 솔루션 SHIELDEX
외부 경로를 통해 유포되는 위장한 악성 문서파일을 통해 악성코드를 방어하기 위해서는
CDR(Content Disarm & Reconstruction) 솔루션을 적용하면 효과적입니다.
CDR 솔루션은 e-mail, USB, Internet 등 다양한 외부 경로를 통해 유입되는 악성 문서파일을
문서구조 분석기술로 무해화하고 안전한 컨텐츠로 재구성하여
악성코드로부터 정보자산을 안전하게 보호해 줍니다.
악성파일과 메일을 직접 무해화해서 악성코드 위협을 사전에 예방할 수 있는
CDR 서비스를 소프트캠프 SHIELDEX 사이트에서 제공하고 있는데요,
의심스러운 문서나 메일이 있다면 한번 체험해보세요!^^
'보안 이야기' 카테고리의 다른 글
| 국내 개인정보 비식별 조치 현황과 대응 방안 (0) | 2017.10.30 |
|---|---|
| 클라우드 컴퓨팅 서비스와 보안 위협 (0) | 2017.10.24 |
| 소프트캠프가 추천하는 국내/해외 정보보안 자격증 7 (0) | 2017.08.30 |
| 유럽 개인정보보호법(EU GDPR) 바로 알기 (0) | 2017.08.25 |
| 개인정보유출 유형과 예방방법 (0) | 2017.08.03 |
