주요 랜섬웨어 종류와 감염경로:: 신뢰할 수 없는 사이트, 스팸 메일, 파일공유, SNS를 통한 랜섬웨어 감염

안녕하세요 랑쿤입니다^^

정말 오랜만에 티스토리 블로그를 다시 접속을 했습니다.

지난달 이런저런 바쁜 일들이 겹치며 한동안 포스팅을 하지 못하는 불상사가 발생을 하였습니다... ㅜㅜ

오늘부터 조금씩 다시 초심으로 돌아와 하나하나 그간 밀린 포스팅을 하고자 마음을 다잡아 봅니다.

포스팅 재개의 첫 신호탄은 바로 요즈음은 조금 시들해진 랜섬웨어에 대한 포스팅을 이어 나가고자 합니다.

지난번 포스팅을 통해 랜섬웨어 감염증상 및 예방법, 복구 프로그램에 대해 포스팅을 하였습니다.

▶랜섬웨어 감염증상 및 예방법. 예방 프로그램 업데이트 절차(바로가기)

▶랜섬웨어 복구 및 대응방법:: 랜섬웨어 감염 복구방법, 복구 프로그램 소개(바로가기)

오늘은 그 세번째 시간인 주요 요주의 랜섬웨어 종류와 감염 경로에 대해 알아보는 시간을 가지겠습니다.

■ 랜섬웨어 정의

랜섬웨어란 몸값(Ransom)과 소프트웨어(Software)의 합성어로 단어의 의미 그대로

시스템 혹은 소트프웨어 데이터를 암호화하여 사용 불능상태로 만들어 이를 인질로 잡고 돈을 요구하는 악성 프로그램을 말합니다.

이러한 랜섬웨어는 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망(SNS)등을 통해 유포가 되게 됩니다.

■ 랜섬웨어 감염경로

랜섬웨어에는 다양한 감염 경로가 있습니다. 그 중 가장 대표적으로 보고된 주요 랜섬웨어의 감염 경로를 알아보겠습니다.

1. 신뢰할 수 없는 사이트

신뢰할 수 없는 사이트의 경우 특별히 파일을 송부받지 않더라도 단순 접속만으로도 감염이 될 수 있어 각별한 주의가 요구가 됩니다.

대표적으로 드라이브 바이 다운로드(Drive-by-Download)기법을 통해 유포가 되게 되는데 이를 방지하기 위해선 PC의 운영체제 및 SW의 보안 패치를 항상 최신으로 유지하는 것이 중요합니다!!

또한 음란물, 무료게임 사이트 등은 보안 관리가 취약한 사이트가 많기 때문에 이용을 자제하는 것이 좋습니다.

※ 드라이브 바이 다운로드란 취약한 웹사이트 방문시 사용자가 인식하지 못하는 틈에 스크립트가 작동하여 취약점을 유발시키는 코드를 실행시키는 수법입니다. 이를 통해 악성코드를 다운로드 하여 사용자의 PC를 감염시킵니다.

2. 스팸메일 및 스피어 피싱

출처가 불분명한 이메일 수신시 첨부파일 혹은 첨부 URL을 통해 악성코드가 유포되는 사례가 종종 있습니다.

따라서 모르는 곳에서 메일이 왔을시 첨부된 파일, 링크를 클릭할때 주의가 필요합니다.

최근에는 사용자들이 메일 오픈을 유도하기 위해 '연말정산 안내, 송년회 안내, 영수증 첨부' 등과 같이 호기심 유발이나 일상생활과 관련된 내용으로 위장을 해 클릭을 유도하고 있으니, 우선 바로 실행을 하기 보다는 일단 pc로 다운을 받은 후 백신 프로그램으로 검사를 하고 열어보는 것을 권장합니다.

3. 파일공유 사이트

토렌트(Torrent), 웹하드 등 P2P사이트를 통해 소프트웨어, 동영상, 사진 등등 각종 파일을 다운로드 하고 이를 실행할 때 악성코드에 감염되는 사례가 있어 이에대한 주의가 필요합니다.

4. 사회관계망서비스, 소셜네트워크(SNS)

최근 페이스북, 링크드인 등과 같이 소셜네트웤(SNS)에 올라온 단축 URL 및 사진을 통한 랜섬웨어 유포가 확인되었습니다.

특히 SNS 계정 해킹을 통해 주변의 지인들에게 접근을 하여 신뢰할 수 있는 사용자로 위장을 하는 경우가 있습니다.

따라서 이에 대한 대비 역시 수반이 되어야 합니다.

5. 네트워크 망

네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염, 확산시키는 방법입니다.

대표적인 랜섬웨어 감염 방법을 살펴보았습니다. 파일공유, 메일, SNS등 정말 다양한 방법으로 감염 시도가 이뤄지고 있습니다.

이에대한 우리 사용자의 대처법은

첫째. 출처가 불분명한 파일의 경우 열기선 반드시 백신검사를 실시!

둘째. 사용하는 운영체제와 프로그램들을 항상 최신 버젼으로 유지한다!

이 두 가지가 되겠습니다. 정기적인 프로그램 업데이트를 통한 스스로를 지키는 예방법이 가장 중요할듯 합니다.

■ 주요 랜섬웨어

1. 워너 크라이(WannaCry)

ㆍ 2017년 5월 12일, 스페인, 영국, 러시아 등을 시작으로 전 세계에서 프해가 보고된 악성 코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화.

ㆍ마이크로소프트 윈도 운영체제의 SMB(Sever Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파

ㆍ워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경

ㆍ워너크립터는 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있으므로 MS Windows 최신 보안 패치를 반드시 적용

2. 록키(Locky)

ㆍ2016년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목 사용

ㆍ자바 스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시에 랜섬웨어를 다운로드 및 감염

ㆍ록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지 출력

ㆍ최근의 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작

3. 크립트XXX(CryptXXX)

ㆍ2016년 5월, 해외 백신사의 복호화 툴 공개 이후에 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포

ㆍ초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트(NeutrinExploit Kit)를 사용

ㆍ크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경

ㆍ비트코인 지불 안내 페이지에는 한글 번역 제공

ㆍ실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL)형태로 유포

ㆍ정상 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작

ㆍ현재 버전은 네트워크 연결 없이도 파일들을 암호화

4. 케르베르(CERBER)

ㆍ케르베르(CERBER)는 말하는 랜섬웨어로 유명

   ※감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”

     음성 메시지 출력

ㆍ웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 .cerber로 변경, 최근 이메일 통해 유포되는 정황 발견

ㆍ악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일은 암호화

ㆍ윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦

5. 크립토락커(CryptoLocker)

ㆍ2013년 9월 최초 발견된 랜섬웨어의 한 종류로 자동실행 등록이름이 크립토락커(CryptoLocker)로 되어있는 것이 특징

ㆍ웹사이트 방문 시 취약점을 통해 감염되거나, E-Mail 내 첨부파일을 통해 감염되며, 확장자를 encrypted, ccc로 변경

ㆍ파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종류를 생성(DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)

ㆍ윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦

6. 테슬라크립트(TeslaCrypt)

ㆍ2015년 국내에 많이 유포된 랜섬웨어로 ‘16년 5월경 종료로 인해 마스터키가 배포되었음

ㆍ취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr등으로 변경

ㆍ드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외

ㆍ악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내문구를 바탕화면에 생성

※출처: 한국인터넷진흥원(KISA)

오늘은 랜섬웨어의 주요 감염경로와 함께 악명높고 유명한 랜섬웨어들에 대해서 살펴보았습니다.

한번 감염되면 복구에는 상당한 시간이 걸리게 됨으로 메일이나 각종 파일을 송부 받을때 주의를 요하고, 항상 소프트웨어의 최신 버젼을 유지를 하여 감영을 예방할 수 있도록 해야겠습니다.

혹시라도 랜섬웨어가 의심이 된다면 지체없이 글 상단의 링크를 통해 백신 프로그램을 통한 검사와 파일 복구에 총력을 기울여야 하겠습니다.

위의 정보가 유용하였다면 공감 꾸~욱! 부탁 드립니다 ^^

-감사합니다. Fin.