Ransomware 변종의 지속적인 출현과 예방 조치 방법

1. 개요 

 

Ransomware로 알려진 악성파일 유포 사례가 지속적으로 증가하고 있는 추세

이다. 이러한 가운데

사용자 컴퓨터의 바탕화면을 잠그고 해제가 가능한 코드를 제공하는 대신 금액 지불을 요구하는 악성파일

이 해외에서 다수 발견되고 있어, 이에 대한 사용자들의 각별한 주의가 요망된다.


현재 해당 악성파일은 Ransomware 형태로서, 컴퓨터에 감염되면 특정 경로에 악성파일을 생성한 후 시스템을 강제 재부팅 하게된다. 재부팅 되어진 컴퓨터는 사용자가 정상적으로 사용이 불가능하도록 바탕화면을 잠금 상태로 바꾼뒤 "Ransom"을 강요하게 된다.

종래의 악성파일은 단순히 컴퓨터의 정보유출 및 내부의 파일을 무차별하게 파괴하는 등의 목적 수행에 그 초점을 두고 있으나 Ransomware 형태의 경우 금전적인 갈취를 목적으로하는 악성파일이자 사이버 범죄의 일환이라 볼 수 있다.

 

참고 : 금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

참고 : Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

참고 : Ransomware 변종의 지속적 출현
http://erteam.nprotect.com/110

2. 감염 방식

현재 발견되어진 악성파일은 아래와 같이 특정 웹 사이트를 통하여 유포가 진행 되어지고 있으며, 서로 다른 Domain 주소 일지라도 동일한 웹 사이트 접근을 통하여 악성파일을 다운로드 받게 되어져 있는 것으로 파악되었다.

 

※ Ransomware 악성파일 유포 도메인 정보 (일부 * 처리)

 

- http://xxxxxx.info/player/pornoplayer.exe
 - http://xxxxx.info/player/pornoplayer.exe
 - http://xxxxx.info/player/pornoplayer.exe
 - http://xxxxxx.info/player/pornoplayer.exe

다운로드 되어진 악성파일은 아래와 같이 pornoplayer.exe 로 음란한 파일명으로 되어져 있다.

또한, 악성파일이 실행되면 시스템 강제 재부팅이 진행되고 사용자 컴퓨터의 바탕화면은 잠금 상태가 된다. 이로 인하여 정상적으로 바탕화면에 대한 엑세스가 불가능한 상황이 발생하게 된다. (일부 노출이 심한 화면 모자이크 처리)

위 그림과 같이 "경고" 메세지를 출력하며 일정 금액에 대한 지불을 요구하고 있다. 정상적인 지불이 완료 되면 해제코드를 부여 받게 되며 이 코드 입력을 마쳐야 비로소 바탕화면의 잠금상태가 해제되게 된다.

※ 일반적인 "파일형 Ransomware" 동작 구조

3. 감염 증상

다운로드 되어진 pornoplayer.exe 악성파일이 실행되면 아래와 같은 특정 경로에 파일을 생성하게 된다.

 

[생성파일]

C:\Documents and Settings\(사용자계정)\2639420692\2639420692.EXE

또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 진행되게 된다.

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 - 값 이름 : "ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920"
 - 값 데이터 : "C:\Documents and Settings\(사용자계정)\2639420692\2639420692.EXE"

4. 예방 조치 방법 (수동 조치 방법)

현재 Ransomware 형태와 관련하여 해외에서 다수의 유포가 확인 되어지고 있으며, 이로 인하여 사용자들로 부터 추가적인 피해가 발생할 수 있는 상황인 만큼 보다 안전하고 지속적인 대응책이 마련되어야 하며 사용자들의 각별한 인터넷 사용 및 주의가 필요한 시점이다.

이와 같이 Ransomware 형식의 악성파일로 부터 안전하기 위해서는 다음과 같은 컴퓨터 사용을 생활화 하도록 하자!

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치
2. 중요한 파일 등의 경우 다른 저장매체를 통한 백업의 생활화
3. 신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.

4-1. 수동 조치 방법

[수동 조치 방법]

1. 시스템 재부팅 이후 안전모드(F8)로 진입한다.
2. C:\Documents and Settings\(사용자계정)\2639420692\ 이동 한다.
3. 폴더 내에 존재하는 2639420692.EXE 와 n 파일을 삭제하거나 해당 폴더를 삭제하도록 한다.
4. 윈도우 "시작 -> 실행 -> regedit" 를 실행한다.
5. 다음과 같이 등록되어진 레지스트리 값을 삭제하도록 한다.
   HKEY_CURRENT_USER
       ㄴ Software\Microsoft
              ㄴWindows
                   ㄴCurrentVersion
                         ㄴRun
                              ㄴ ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920
6. 시스템 재부팅 후 표준모드로 진입한다.

 

현재 Ransomware 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 치료가 가능하며, 잉카인터넷 대응팀은 지속적으로 발생 가능한 변종 보안 위협에 대하여 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면