아이티윈

[12월] KISA에서 제공하는 랜섬웨어 정의 및 감염경로

작성일

2016.12.09 10:26

조회

1,421

출처 : http://www.boho.or.kr/ransomware/information.do

랜섬웨어 정의

몸값(Ransome)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트를 통해 유포 됩니다.

랜섬웨어 감염경로

신뢰할 수 없는 사이트
신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 유포 됩니다. 이를 방지하기 위해서 사용하는 PC의 운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트하는 것이 중요합니다. 또한 음란물, 무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자제를 권고합니다.
※ 드라이브 바이 다운로드는 취약한 웹사이트에 방문하였을 뿐인데 사용자 모르게 악성 스크립트가 동작하여 취약점을 유발시키는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를 감염시키는 기법입니다.

스팸메일
출처가 불분명한 이메일 수신시 첨부파일 또는 메일에 URL 링크를 통해 악성코드를 유포하는 사례가 있으므로 첨부파일 실행 또는 URL 링크 클릭에 주의가 필요합니다. 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신으로 검사하고 열어보는 것을 권고합니다.

파일공유 사이트
토렌트 등 p2p 사이트를 통해 동양상 등의 파일을 다운로드 받고 이를 실행할 경우, 악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요합니다.

주요 랜섬웨어

록키(Locky)
’16년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목사용
자바 스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시 랜섬웨어 감염
록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지 출력
최근의 록키 랜섬웨어는 연결 IP정보를 동적으로 복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작

크립트XXX(CryptXXX)
’16년 5월, 해외 백신사의 복호화 툴 공개 이후에 취약한 암호화 방식을 보완한 크립트XXX3.0 버전이 유포
초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트(Neutrino Exploit Kit)를 사용
크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경
비트코인 지불 안내 페이지에는 한글 번역 제공
실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL)형태로 유포
현재 버전은 네트워크 연결 없이도 파일들을 암호화

케르베르(CERBER)
CERBER는 말하는 랜섬웨어로 유명 감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted” 음성 메시지 출력
웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 .cerver로 변경, 최근 이메일을 통해 유포됨
악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일 암호화
윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦

조달 Business 바로가기

Security 바로가기

Solution 바로가기

Software 바로가기

회사소개 | 개인정보처리방침 | 이메일무단수집거부 | 오시는 길 | 관리자

(주)아이티윈 본사 소재지 : (49223) 부산광역시 서구 보수대로 111 (부용동1가, 동아빌딩 4층) 전화 : 051)245-5321 팩스 : 051)245-5040 사업자등록번호 : 603-81-63797 대표자 : 곽영호
아이티윈네트웍스(서울) : (08511) 서울특별시 금천구 가산동 60-19 , SJ테크노빌 708호 전화 : 02)574-5321 팩스 : 02)574-5341
(주)아이티윈 대전지사 : (35214) 대전광역시 서구 대덕대로 319 , 213호 (월평동, 우림필유) 전화 : 042)483-5321 팩스 : 042)483-5321