분석 정보/랜섬웨어 분석 정보

Ransomware의 위협과 대응방안

TACHYON & ISARC 2010. 12. 7. 15:27

1. 개요

해외시각으로 2010년 11월 29일경, GpCode의 변종으로 알려진 Ransomware가 출현 하였다는 사실이 해외 보안 업체 및 해외 블로그를 통해 보고 되었다. 이번 시간에는 이슈가 되었던 해당 악성파일에 대해 국내에서도 정상적으로 구동이 가능한지, 또한 예방 방법으로는 어떠한 것들이 있는지 살펴볼 수 있는 시간을 가져 보도록 하겠다.

[ 금품요구 목적의 새로운 Ransomware 출현! ]
http://erteam.nprotect.com/84

2. 유포 방식

이번 GpCode 변종으로 알려진 Ransomware는 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), 어도비 플래시(Adobe Flash)의 취약점을 이용해 감염 및 변조된 웹사이트를 통해 악성파일을 유포하는 것으로 알려졌다.

3. 감염 방식 및 증상

이 악성파일에 감염되면 우선 하기의 그림과 같이 배경화면이 위의 그림과 같이 변경되며, RSA-1024 암호화 방법을 통해 사용자의 파일을 암호화 하였다는 문구를 보여준다.

                                                                       < 감염 시 배경화면 >

또한, 위 그림에서 적색 박스로 표시된 txt파일을 열어보면 하기의 그림과 같이 사용자의 그림, 문서 등의 파일을 암호화 하였다는 내용과 함께 복구파일을 건네주는 조건으로 금품을 요구하고 있다.

상기의 내용을 자세히 살펴보면 특정 복원 파일만이 암호화된 파일에 대한 유일한 복원 방법임과 동시에 일정시간이 흐르면 파일이 삭제되어 더이상 복구가 불가능 하다는 내용이 포함되어 있다. 즉, 복원파일에 대한 금품요구(미화 120달러, 한화 약 13만 5천원)를 유도하는 것이다. 또한, 상기의 내용에 포함되어 있는 해당 악성파일 제작자와 접촉이 가능한 이메일의 경우 변종 출현 시 마다 계정이 변경될 수 있다.

해당 악성파일은 한글판 윈도우 환경에서도 구동된다는 것이 확인되었으며 감염 시 

doc, docx, txt, pdf, xls, jpg, bmp, mp3, zip, rar, avi, mdb, psd, dbf 등의 확장명을 가지는 파일에 대한 암호화를 진행

하고 위 그림과 같은 파일명을 가지게 된다.

4. 예방 조치 방법

금번과 같은 Ransomware는 감염된 이후 각종 업무진행에 필요한 문서파일 등을 암호화하여 기업의 경우 더욱 심각한 문제를 초래 할 수 있다. 때문에 해당 악성파일 제작자는 최종 목적인 금전적 이득을 위해 이러한 점을 악용했다고 볼 수 있다.

현재 국내에서 해당 악성파일로 인한 특별한 피해 사례는 발생하지 않고 있으나 암호화된 파일들의 뚜렷한 복호화 방안이 아직 마련되지 않아 분석중에 있다. 그렇기 때문에 현재로선 해당 악성파일에 대한 사전방역이 무엇보다 중요하며, 자신의 파일에 대한 보호를 위해 아래와 같은 몇가지 보안 관리 수칙을 반드시 수행해야 한다.

 

[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 각종 취약점을 보완하기 위한 보안패치의 생활화

2. P2P 사이트 등을 통한 불법적인 다운로드 행위 지양

3. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화

4. 수신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양

5. 중요한 문서 파일의 경우 항상 다른 저장매체를 이용한 백업작업 수행

6. Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

nProtect Anti-Virus 제품군에서는 현재까지 수집된 Ransomware에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있으며, 관련하여 지속적인 대응체계를 유지하고 있다.