분석 정보/악성코드 분석 정보

Ransomware의 지속적인 출현과 대응 방법

TACHYON & ISARC 2011. 5. 18. 11:40

1. 개 요


최근 해외를 중심으로 감염 증상 해결을 위해 금전적 요구를 하는 형태의 Ransomware가 지속적으로 등장하고 있어 일반 사용자들의 각별한 주의가 요망되고 있다. 일단 감염이 이루어지면 PC 사용 자체가 불가능해지며, 일정 금액을 지불해야만 해당 증상 해제를 위한 일종의 키값을 받을 수 있기 때문에 시간적, 물리적, 금전적 손실이 뒤따르게 된다. 이번 글을 통해 지속적으로 출현중인 Ransomware에 대해 살펴 본 후 혹시 있을지 모를 피해에 대비할 수 있도록 하자.

2. 감염 경로 및 증상

Ransomware는 취약점이 존재하는 특정 웹 사이트를 통해 유포될 수 있으며, 이메일의 첨부파일이나, 인스턴트 메신저 혹은 SNS(Social Network Services)등을 통해서도 유포가 가능하다.

어떠한 방법으로든 일단 감염이 이루어지면 아래의 그림과 같이 윈도우 창 자체에 일종의 "Lock"을 걸어 PC사용 자체를 불가능하게 한다.

위 그림을 살펴보면 앞서 설명했던 Ransomware의 주요 감염 증상인 금품 요구에 대한 부분을 확인할 수 있다. 또한, 재부팅을 진행해도 해당 "Lock" 증상은 사라지지 않는다.

3. 임시 대응 방법

그렇다면 이러한 악성파일에 감염될 경우 악성파일 제작자의 금품 요구를 따르던가 아니면 감염 PC에 대한 포멧 말고는 해결 방법이 없을까?

아래의 "수동 조치 방법"을 활용할 경우 임시적으로 수동 치료가 가능하니 참고할 수 있도록 하자.

  

◆ 수동 조치 방법

1) 윈도우를 재부팅하여 "F8" 키를 눌러 아래의 그림과 같은 화면으로 이동한 후 "안전 모드"를 선택해 계속해서 부팅 과정을 진행한다.

2) 윈도우 하단의 "시작" -> "실행" -> "regedit" 입력 후 "레지스트리 편집기"를 실행한다.

3) 아래의 경로에 존재하는 악성파일 레지스트리 정보를 삭제 한다.

  - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  - 데이터 : C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\explorer.exe

4) 아래의 경로로 이동하여 해당 악성파일을 삭제한다.

  - 경   로 : C:\Documents and Settings\%username%\Application Data\Microsoft
  - 파일명 : explorer.exe


5) 1~4번 항목을 모두 수행 한 후 재부팅을 진행하면 임시적인 수동치료는 모두 완료된다.

  

4. 예방 조치 방법

위와 같은 Ransomware는 금품 요구를 목적으로 PC사용 자체를 불가능하게 만들기 때문에 만일 기업체 등에서 감염될 경우 중요 데이터 손실 및 금전적 피해를 입을 수 있다.

또한, 해당 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현 가능성이 상당히 크기 때문에 사전 예방 조치가 반드시 선행되어야 한다. 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.