본문 바로가기

보안 이야기

랜섬웨어의 유형과 예방수칙 5


얼마 전 전세계를 휩쓸었던 워너크라이부터 

거액의 금액을 지불하고 암호키를 받아 데이터를 복구한 대형 웹호스팅 업체 사건 등

랜섬웨어가 우리 곳곳에 무서운 피해를 입히고 있습니다. 


또한 아직까지도 예방이 최선의 방법일 뿐

확실한 랜섬웨어의 치료방법은 없지요.


게다가 최근 들어 다양한 방법으로 랜섬웨어가 유포되고 있어

정보보안 담당자라면 항상 주의해야 하는데요,


오늘은 대표적인 랜섬웨어부터 다양한 유형으로 퍼지고 있는 신종 랜섬웨어,

예방방법 등에 대해 알려드리겠습니다. 


평소 민감한 정보, 중요한 정보를 다루는 담당자라면

꼭 읽어보시기 바랍니다^^




대표적인 랜섬웨어 7

 

1. Crypt0L0cker


 

▲ 침투 방식 

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일 실행 등

- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물) 


▲ 피해 범위

- PC에 연결된 자주 사용하는 파일 (office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

- Cloud Drive, Local Disk, USB Driver, NetWork Drive


▲ 특징 

- 파일의 확장자 encrypted로 변경

- 파일을 암호화한 폴더 내에 2개의 파일을 생성 (DECRYPT_INSTRUCTIONS.*)

- 시스템 보호 기능의 백업본 삭제 후 동작



2. CryptoWall3.0


 

▲ 침투 방식 

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일 실행 등

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물) 


▲ 피해 범위

- PC에 연결된 자주 사용하는 파일 (xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

- Cloud Drive, Local Disk, USB Driver, NetWork Drive


▲ 특징 

- 파일의 확장자 변조 없음

- 파일을 암호화한 폴더 내에 3~4개의 파일 생성 (HELP_DECRYPT.*)

- 파일의 고유 서명 값 위변조



3. CryptoWall3.0 변종


 

▲ 침투 방식

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일 실행 등

- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물) 


▲ 피해 범위

- PC에 연결된 자주 사용하는 파일 

  (xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

- Cloud Drive, Local Disk, USB Driver, NetWork Drive


▲ 특징
- 파일의 확장자를 aaa > abc > ccc로 변경
- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성 
  (howto_restore_file_랜덤한 5자리 영문.*/howto_recover_file_랜덤한 5자리 영문.*)


4. CTB-Locker


▲ 침투 방식 

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일(src) 실행 등

- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, scr 등)

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물) 


▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 
 (*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe 제외한 모든 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive

▲ 특징
- 파일의 확장자를 랜덤한 7자리 문자로 변경
- 파일을 암호화한 폴더 내에 2개의 파일을 생성 (Decrypt All Files???????.*)


5. Teslacrypt, AlphaCrypt


▲ 침투 방식

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일 실행 등

- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 exe 등)

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물) 


▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 
  (office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive, 감염PC에서 접근가능한 공유폴더

▲ 특징
- 파일의 확장자 ecc < ezz < exx로 변경
- 파일을 암호화한 폴더 내에 2개의 파일을 생성 (HELP_RESTORE_FILES.*)
- 200MB 이상의 파일은 손상시키지 않음


6. NK_, VO_


▲ 침투 방식
- 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 접근하여 Windows 작업 스케쥴러에 랜섬웨어 감염파일을 등록하여 동작

▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 
  (hwp, xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive

▲ 특징
- 파일명 앞에 NK_, VO_ 문구가 생성
- 파일을 암호화 한 폴더 내에 1개의 파일을 생성 (NK_IN YOUR FILES.*/VO_IN Documents.*)
- WIndows 작업 스케줄러에 프로그램 등록 (1.bat, sysdll.exe)
- 감염파일 위치 >> C:Users%LoginAccount%AppDataRoamingSystemTempFolder

▲ 차이점
- 특별한 랜섬웨어 명칭(CryptoWall, CryptL0cker 등)이 없음
- 기존 PC공격에서 서버 DB 공격으로 진화
- 기존 서버 기반에서 E-Mail 기반 프로그램으로 변화
- 기존 랜섬웨어와 다르게 OS 실행 시 동작하게 설정되어 있어 장비가 부팅되면 계속 동작
- Windows 작업 스케줄러에 등록된 감염파일(1.bat, sysdll.exe)을 삭제해줘야 함


7. CryptoWall4.0


▲ 침투 방식

- E-Mail 첨부파일, Web ActiveX  설치, 감염파일 실행 등

- 발신지가 명확하지 않은 이메일 첨부파일 실행 및 웹사이트 방문 (첨부파일 패턴 zip, exe, scr, cab, pdf 등)

- 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행 (방화벽 장비 무용지물)

 
▲ 피해 범위
- PC에 연결된 자주 사용하는 파일 
  (hwp, xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)
- Cloud Drive, Local Disk, USB Driver, NetWork Drive

▲ 특징
- 파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경
- 파일을 암호화한 폴더 내에 3개의 파일을 생성 (HELP_YOUR_FILES.*)
- 파일명을 변경시키는 유일한 랜섬웨어



새로운 유형으로 등장하는 랜섬웨어


랜섬웨어의 지능화, 고도화로 이전과 다르게

다양하고 교묘한 방법으로 랜섬웨어가 유포되고 있습니다. 



▲ 디지털 서명을 탑재한 랜섬웨어

파일 무결성을 보장하는 디지털 서명을 탑재한 랜섬웨어 입니다. 


흔치 않은 랜섬웨어 이지만,

디지털 서명은 파일 신뢰를 구분하는 최소한의 인증으로

사용자가 의심 없이 파일을 열어볼 수 있기 때문에

1차 필터링을 우회화고 쉽고 빠르게 감염시킬 수 있습니다. 


또한 기존 랜섬웨어가 웹사이트 주소로 접속을 유도하는 것과 다르게

이메일 주소를 활용해 연락을 유도하고 있습니다. 



▲ 온라인 광고로 유포되는 랜섬웨어


음악, 영상 등의 콘텐츠를 사용하면서 무심코 본 광고 때문에

랜섬웨어에 감염될 수 있습니다. 


온라인 광고를 변조해 악성코드를 유포하는 기법인데요,

사용자가 사이트에 접속한 뒤 광고를 클릭하면 광고에 숨겨져 있는 악성코드로 인해

랜섬웨어에 감염되는 방식입니다. 


공격자는 미리 제작해 놓은 위장 광고 서버에서 악성코드를 전송하는데

해당 서버의 도메인이 실제 광고 서버와 유사하기 때문에

정상으로 착각하기 쉽습니다. 



▲ 실행 파일로 위장한 랜섬웨어


유명 유틸리티 프로그램의 업데이트 파일로 위장한 랜섬웨어 입니다. 


해당 파일 실행 시 대부분의 랜섬웨어 증상과 비슷하게

사용자 PC 내 주요 파일들이 암호화 되고 비트코인을 요구하는 화면이 나옵니다. 


해당 악성 파일은 파일명이 'Setup.exe'로 돼 있어 사용자가 정상 파일로 생각하기 쉽습니다. 

하지만 정상 파일과 아이콘 모양과 디지털 서명이 다르기 때문에

조금만 관심을 가진다면 쉽게 구분할 수 있습니다. 



▲ 안드로이드 기반의 랜섬웨어 


안드로이드에서 동작할 수 있는 랜섬웨어가 발생했는데요

문제는 별다른 기술이 없는 사용자들도

손쉽게 랜섬웨어를 만들 수 있는 툴까지 제작되었다는 점 입니다. 


앱으로 구성된 제작 툴은 쉽게 다운로드 할 수 있고

자신의 기기를 이용해 빨게 안드로이드 랜섬웨어를 생성할 수 있습니다. 


해당 앱으로 만든 악성코드는 기기 스크린을 잠그고

피해자가 언락코드를 입력하도록 텍스트 박스를 표시하는 

전형적인 락드로이드(Lockdroid) 방식을 따르고 있는데요,


이러한 앱을 사용하면 해킹이나 범죄에 관심이 있는 누구나

코드 한 줄 작성하지 않아도 바로 사용할 수 있는 랜섬웨어를 개발할 수 있기 때문에

앞으로 랜섬웨어 변종들이 폭팔적으로 증가할 수 있습니다. 





랜섬웨어 예방요령

 

 

감염이 되고 나서 해결책이 없는 랜섬웨어, 

그렇다면 미리 예방해야겠죠?

소프트캠프에서 랜섬웨어를 예방하는 5가지 방법을 알려드리겠습니다^^



▲ CDR 솔루션 SHIELDEX 


외부 경로를 통해 유포되는 위장한 악성 문서파일을 통해 악성코드를 방어하기 위해서는

CDR(Content Disarm & Reconstruction) 솔루션을 적용하면 효과적입니다. 


CDR 솔루션은 e-mail, USB, Internet 등 다양한 외부 경로를 통해 유입되는 악성 문서파일을

문서구조 분석기술로 무해화하고 안전한 컨텐츠로 재구성하여

악성코드로부터 정보자산을 안전하게 보호해 줍니다. 



악성파일과 메일을 직접 무해화해서 악성코드 위협을 사전에 예방할 수 있는

CDR 서비스를 소프트캠프 SHIELDEX 사이트에서 제공하고 있는데요,

의심스러운 문서나 메일이 있다면 한번 체험해보세요!^^



▲ SHIELDEX 사이트 
 

▲ 파일 CDR 체험하기



▲ 메일 CDR 체험안내


그 밖에도 여러분 스스로가 아래와 같은 방법을 통해 주의하신다면
랜섬웨어를 예방할 수 있습니다.

▲ 스팸 메일 첨부파일 실행 금지 
출처가 불분명한 메일 삭제, 사용자의 호기심을 이끄는 메일 제목일 경우,
특히 발신인이 확인되지 않으면 클릭 금지, 지인의 메일도 한번 더 확인

▲ 중요 문서 및 파일 백업 필수
중요한 파일에 대해서 해당 시스템 이외의 별도 저장공간에 백업하고,
해당 시스템에 저장 시에는 압축 암호화 하여 별도 보관, 혹시 감염되더라도 피해 최소화 가능

▲ 운영체제 및 각종 응용프로그램 보완 업데이트 진행
MS OS 업데이트를 포함하여 IE, JAVA, Flash, Microsoft Silverlight, XMLDOM, Office, 한글 등
대표적인 어플리케이션은 항상 최신 버전을 유지

▲ 백신 프로그램 최신 업데이트 유지
백신 프로그램을 필수적으로 설치하고 최신 엔진을 유지