2016년 6월 15일(수)



유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 Crysis 및 변종 램섬웨어가 전 세계적으로 확산되고 있어 이에 주의를 요한다고 전했다.


이제까지 명성을 떨쳤던 TeslaCrypt 랜섬웨어는 ESET 등 몇몇 안티바이러스 업체가 복호화 도구를 배포하기 시작하면서 확산이 추춤한 듯 하지만, 사이버 범죄에서 랜섬웨어가 차지하는 명성과 비율은 전혀 줄어들지 않고 있다. ESET LiveGrid®의 통계에 따르면,  Win32/Filecoder.Crysis 랜섬웨어가 최근 높은 수준의 확산율을 나타내고 있음에 주목할 필요가 있다고 전했다. 이 램섬웨어는 고정식, 이동식 및 네트워크 드라이브 내의 모든 파일을 암호화하며, 강력한 암호화 알고리즘을 사용함과 동시에, 빠른 시간 내에 대응 방법을 찾아내기 어려운 몇가지 기법을 사용하고 있다.


Crysis 랜섬웨어는 기존의 악성코드 확산 방법과는 다르게, 랜섬웨어 파일을 두가지 확장자를 사용하여 스팸 메일의 첨부 파일로 배포된다. 이는 첨부된 랜섬웨어 파일이 실행 파일이지만 실행 파일이 아닌 것처럼 보이게 하는, 매우 효과적이면서 간단한 기술이다. Crysis 랜섬웨어의 또 다른 감염 경로는, 적법한 애플리케이션의 설치 파일을 검색하기 위한 도구로 위장하여 다양한 인터넷 사이트와 공유 네트워크를 통해 배포된다.


일단 감염이 되면 지속적인 실행을 위해, 시스템이 시작될 때마다 동작되도록 레지스트리 항목을 추가한다. Crysis 랜섬웨어가 실행되면, 램섬웨어 동작에 필요한 운영체제 파일과 램섬웨어 자체 파일을 제외한 모든 파일을 암호화하며, 컴퓨터의 이름과 특정 형식으로 암호화된 파일의 갯수를 수집한 후 C&C 서버로 전송하며, 일부 윈도우 버전에서는 램섬웨어를 관리자 권한으로 실행하여 파일의 암호화 영역을 확대하려는 시도를 한다. 악성 행위를 완료한 후, 복구 방법을 안내하는 텍스트 파일을 바탕 화면 폴더에 생성하며, 경우에 따라 배경 화면에 랜섬 메시지를 표시하는 이미지 파일을 동반하기도 한다. 처음에는 두 개의 공격자 이메일 주소만 표시되지만, 표시된 주소로 이메일을 보내면 파일 복호화에 필요한 비용을 비트코인으로 송금하도록 하는 추가적인 요구사항을 전달받게 된다.


(주)이셋코리아의 김남욱 대표는 "최근 발견되는 악성코드의 60% 정도가 랜섬웨어로 알려져 있을 정도로 랜섬웨어의 피해는 매우 심각합니다. 랜섬웨어의 감염 벡터는 주로 난독화된 자바스크립트로 작성된 드로퍼를 이메일 등에 첨부하여 배포하는 것으로 시작하며, 계속적인 수정과 변형이 이루어지기 때문에 시스템에서 자바스크립트의 유입이나 실행 자체를 차단하지 않는 이상, 사전 방역이 쉽지 않은 것이 현실입니다."고 사전 방역이 어려운 이유를 설명했다.


아울러 "기업 환경 등에서는 안티스팸 기능을 적절히 활용하여 스크립트를 포함하는 이메일의 내부 유입을 필터링하고, 스크립트에 의한 추가 프로그램의 다운로드나 실행 등의 기능을 차단하는 등의 보다 적극적인 사전 방어 노력이 요구됩니다. 이러한 기능은 ESET 등의 안티바이러스 제품에서 기본적으로 제공되고 있으며, 아울러 각 업체별로 분석이 완료된 일부 랜섬웨어에 의해 암호화된 파일의 복구 방법도 제공하고 있으므로 이를 참고하는 것도 필요하리라 봅니다."고 랜섬웨어 대응 방법에 대해 언급했다.



사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요