1. 개 요
2. 유포 경로 및 감염 증상
해당 악성파일은 현재 러시아 등 해외를 중심으로 집중적으로 유포가 이루어지고 있으며, 현재까지 국내에 별다른 피해 사례는 접수되지 않고 있다. 다만, 해당 악성파일은 국내 PC환경에서도 얼마든지 감염이 이루어질 수 있으며, 감염되면 해외에서 발생하는 감염증상과 동일하게 특정 유효 코드를 입력하기 전까지는 정상적인 PC사용이 불가능하다.
해당 악성파일은 이메일의 첨부파일 형태, SNS 및 인스턴스 메신저 등의 링크 접속을 통해 유포될 수 있으며, 해킹된 사이트 등을 통한 악성 링크 접속 등으로도 유포될 수 있는 등 제작자의 의도에 따라 광범위한 유포 경로를 가질 수 있다.
위와 같은 유포 경로를 통해 해당 악성파일을 다운로드하게 될 경우 아래의 그림과 같이 동영상 파일로 위장하는 등 다양한 방법을 통해 사용자들의 실행을 유도할 수 있다.
일반 사용자의 경우 이러한 일종의 사회공학 기법을 악용한 악성파일에 현혹되어 쉽게 위와 같은 악성파일을 실행할 수 있다.
◆ 감염 전/후 MBR 비교
기존에는 위와 같은 악성파일에 감염되면 수정된 MBR을 원래의 MBR로 복원하여 PC에 대한 정상적인 이용이 가능하도록 하는 구조로 되어있었으나 최근에 유포되고 있는 Ransomware의 경우 아래의 그림과 같이 MBR에 대한 수정은 이루어지지 않고 있다.
다운로드된 해당 악성파일을 실행하게 되면 아래의 그림과 같은 "시스템 종료" 창이 출력될 수 있다.
◆ 시스템 종료 현상 발생
위와 같은 시스템 종료 현상은 해당 악성파일이 특정 함수에 의한 커널모드 접근 과정 중 발생하였으며, 아래의 그림과 같은 구조로 되어있다.
위와 같은 시스템 종료 창이 출력된 후 사용자의 PC는 "3초" 후에 곧바로 재부팅이 이루어진다. 때문에 별다른 대응조치를 할 수 없고 부팅이 완료되면 아래의 그림과 같이 특정 유효 코드 입력을 요구하는 창이 출력된다.
위 그림과 같은 창이 출력되면 "텍스트 바" 부분만 키보드를 통해 입력이 가능하며, 사용자의 PC는 일체 사용이 불가능하다. 해당 PC의 정상적인 사용을 위해서는 특정 유효 코드가 필요하며, Ransomware는 위 그림의 본문 내용과 같이 특정 휴대폰 번호(9872701688)로 일정 금액을 송부할 경우 해당 유효 코드를 제공한다고 한다. 참고로 해당 특정 휴대폰 번호는 러시아의 통신 사업자를 통해 제공되는 것으로 알려졌다.
3. 예방 조치 방법
Ransomware는 감염 후 실행 화면을 통해 해당 PC에 대한 데이터/MBR 등의 허위 암호화 사실을 알린다. 이러할 경우 일반 기업체나 공공기관에서는 별다른 대책이 없어 악성파일 제작에게 금품을 건네고 PC를 복구하는 등 금전적/시간적 손실을 입는 사례가 적지 않은것으로 알려지고 있다.
물론 감염된 PC내의 하드디스크를 정상적인 PC에 연결하여 내부에 존재하는 악성파일을 삭제하면 PC에 대한 정상적인 사용이 가능하다. 다만, 일반 사용자의 경우 이러한 방법은 상당히 불편할 수 있으며, 기업체나 공공기관 등 다수의 PC가 감염될 경우 이러한 수동조치 방법은 시간적 손실이 상당할 것이다.
때문에 위와 같은 감염증상을 가지는 Ransomware로부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법일 수 있다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
◆ 진단 현황
- Trojan/W32.Timer.78336
[Ransomware의 지속적인 출현과 대응 방법]
☞ http://erteam.nprotect.com/158
[웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요]
☞ http://erteam.nprotect.com/138
[퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견]
☞ http://erteam.nprotect.com/121
[Ransomware 변종의 지속적인 출현과 예방 조치 방법]
☞ http://erteam.nprotect.com/112
[Ransomware 변종의 지속적 출현]
☞ http://erteam.nprotect.com/110
☞ http://erteam.nprotect.com/158
[웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요]
☞ http://erteam.nprotect.com/138
[퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견]
☞ http://erteam.nprotect.com/121
[Ransomware 변종의 지속적인 출현과 예방 조치 방법]
☞ http://erteam.nprotect.com/112
[Ransomware 변종의 지속적 출현]
☞ http://erteam.nprotect.com/110
2. 유포 경로 및 감염 증상
해당 악성파일은 현재 러시아 등 해외를 중심으로 집중적으로 유포가 이루어지고 있으며, 현재까지 국내에 별다른 피해 사례는 접수되지 않고 있다. 다만, 해당 악성파일은 국내 PC환경에서도 얼마든지 감염이 이루어질 수 있으며, 감염되면 해외에서 발생하는 감염증상과 동일하게 특정 유효 코드를 입력하기 전까지는 정상적인 PC사용이 불가능하다.
해당 악성파일은 이메일의 첨부파일 형태, SNS 및 인스턴스 메신저 등의 링크 접속을 통해 유포될 수 있으며, 해킹된 사이트 등을 통한 악성 링크 접속 등으로도 유포될 수 있는 등 제작자의 의도에 따라 광범위한 유포 경로를 가질 수 있다.
위와 같은 유포 경로를 통해 해당 악성파일을 다운로드하게 될 경우 아래의 그림과 같이 동영상 파일로 위장하는 등 다양한 방법을 통해 사용자들의 실행을 유도할 수 있다.
일반 사용자의 경우 이러한 일종의 사회공학 기법을 악용한 악성파일에 현혹되어 쉽게 위와 같은 악성파일을 실행할 수 있다.
◆ 감염 전/후 MBR 비교
기존에는 위와 같은 악성파일에 감염되면 수정된 MBR을 원래의 MBR로 복원하여 PC에 대한 정상적인 이용이 가능하도록 하는 구조로 되어있었으나 최근에 유포되고 있는 Ransomware의 경우 아래의 그림과 같이 MBR에 대한 수정은 이루어지지 않고 있다.
다운로드된 해당 악성파일을 실행하게 되면 아래의 그림과 같은 "시스템 종료" 창이 출력될 수 있다.
◆ 시스템 종료 현상 발생
위와 같은 시스템 종료 현상은 해당 악성파일이 특정 함수에 의한 커널모드 접근 과정 중 발생하였으며, 아래의 그림과 같은 구조로 되어있다.
위와 같은 시스템 종료 창이 출력된 후 사용자의 PC는 "3초" 후에 곧바로 재부팅이 이루어진다. 때문에 별다른 대응조치를 할 수 없고 부팅이 완료되면 아래의 그림과 같이 특정 유효 코드 입력을 요구하는 창이 출력된다.
위 그림과 같은 창이 출력되면 "텍스트 바" 부분만 키보드를 통해 입력이 가능하며, 사용자의 PC는 일체 사용이 불가능하다. 해당 PC의 정상적인 사용을 위해서는 특정 유효 코드가 필요하며, Ransomware는 위 그림의 본문 내용과 같이 특정 휴대폰 번호(9872701688)로 일정 금액을 송부할 경우 해당 유효 코드를 제공한다고 한다. 참고로 해당 특정 휴대폰 번호는 러시아의 통신 사업자를 통해 제공되는 것으로 알려졌다.
3. 예방 조치 방법
Ransomware는 감염 후 실행 화면을 통해 해당 PC에 대한 데이터/MBR 등의 허위 암호화 사실을 알린다. 이러할 경우 일반 기업체나 공공기관에서는 별다른 대책이 없어 악성파일 제작에게 금품을 건네고 PC를 복구하는 등 금전적/시간적 손실을 입는 사례가 적지 않은것으로 알려지고 있다.
물론 감염된 PC내의 하드디스크를 정상적인 PC에 연결하여 내부에 존재하는 악성파일을 삭제하면 PC에 대한 정상적인 사용이 가능하다. 다만, 일반 사용자의 경우 이러한 방법은 상당히 불편할 수 있으며, 기업체나 공공기관 등 다수의 PC가 감염될 경우 이러한 수동조치 방법은 시간적 손실이 상당할 것이다.
때문에 위와 같은 감염증상을 가지는 Ransomware로부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법일 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
3. 메신저, SNS 등을 통한 링크 접속을 주의한다.
4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.
5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.
1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
3. 메신저, SNS 등을 통한 링크 접속을 주의한다.
4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.
5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
◆ 진단 현황
- Trojan/W32.Timer.78336
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]윈도우 원격 데스크톱 웜 "Morto" 해외 확산 (0) | 2011.08.29 |
---|---|
[주의]Flash Player로 위장한 Ransomware (0) | 2011.08.25 |
[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견 (0) | 2011.07.18 |
[주의]한글 문서(HWP)취약점을 이용한 악성파일 발견 (2) | 2011.07.05 |
[주의]주말에 집중 유포하는 악성파일 감염시 부팅 장애 부작용 발생 (0) | 2011.07.05 |