상세 컨텐츠

본문 제목

랜섬웨어 'Crypt0L0cker'주의!

이스트시큐리티 소식

by 알약(Alyac) 2015. 4. 21. 17:07

본문

랜섬웨어 'Crypt0L0cker'주의!


안녕하세요. 알약입니다. 

지난주 금요일부터 현재(21일)까지 랜섬웨어 'Crypt0L0cker'가 유포되고 있어 사용자들의 주의가 요구됩니다.


랜섬웨어란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217


이번에 발견된 랜섬웨어는 드라이브 바이 다운로드 형식으로 유포되고 있습니다. 드라이브 바이 다운로드는 OS 및 SW의 보안취약점을 통해 변조된 웹사이트를 방문할 시 악성코드가 유포되는 방식입니다. 사용자가 악성 프로그램이나 악성 첨부파일 등을 실행시키지 않아도, 사용자 컴퓨터에 설치된 OS나 SW 취약점을 통해 감염될 수 있습니다. 즉, 보안 취약점이 있는 OS나 SW를 사용하고 있는 사용자는 악성코드에 감염된 홈페이지에 방문만 해도 악성코드에 감염이 될 수 있습니다.


'Crypt0L0cker' 랜섬웨어에 감염되면, 다른 랜섬웨어들과 마찬가지로 컴퓨터에 있는 중요 문서파일, 이미지 파일, 압축파일 등이 암호화됩니다. 또한, 공격자는 공유폴더 및 네트워크 드라이브에 있는 파일들도 암호화를 시킵니다. 여기서 특이한 점은, 다른 랜섬웨어들과는 다르게 감염 후 한글로 작성된 금전 요구 메시지를 띄운다는 것입니다. 이를 통해 국내 사용자를 타겟으로 랜섬웨어를 유포한 것을 알 수 있습니다. 'Crypt0L0cker'의 경우 현재까지 한국 외에도 일본과 대만, 말레이시아 등에도 유포되어 현지어로 만들어진 금전 요구 메시지를 띄우는 것도 확인되었습니다.




랜섬웨어 피해를 최소화시키기 위한 방법


1. 중요한 파일들은 백업해 놓는 습관 기르기
현재까지 랜섬웨어에 의해 암호화된 파일을 완벽히 복호화하는 방법은 없습니다. 따라서 감염됐을 시 미리 백업해둔 파일을 이용해 파일을 복원하는 것이 가장 좋은 방법입니다. 중요한 파일들은 항상 백업해두는 습관을 기르는 것이 중요합니다.


2. 네트워크 폴더 사용자 접근 권한 변경
네트워크 폴더를 사용할 경우에는 해당 폴더로의 접근 권한을 읽기 권한만 부여해 피해가 확산되는 것을 최소화 시킬 수 있습니다. 그러나 되도록이면 네트워크 폴더를 사용하지 않는 것을 권장해 드립니다.  


3. 자주 사용하는 SW 최신으로 업데이트하기
드라이브 바이 다운로드 형태로 유포되는 랜섬웨어들과 같은 경우, 사용자 PC에 설치되어 있는 SW의 취약점을 이용한 공격으로 취약한 버전의 SW를 패치하지 않으면 랜섬웨어에 감염될 확률이 높습니다. 따라서 자주 사용하는 SW(Abode Flash Player, IE, java 등)를 최신 버전으로 업데이트 해주는 것이 중요합니다. 


4. 윈도우OS 최신으로 업데이트하기
MS는 매월 둘째 주 화요일 보안 업데이트를 진행하고 있습니다. 또한 고위험의 취약점이 발견되었을 경우, 비정기적으로 임시 보안업데이트를 진행하고 있습니다. 이러한 업데이트는 이미 알려진 취약점에 대하여 패치를 진행하는 것으로, 사용자 여러분들께서는 반드시 윈도우 보안업데이트를 최신 버전으로 유지해 주셔야 합니다. 윈도우 보안 업데이트는 [제어판] ▶ [Windows Update(윈도우7 기준)]에서 확인하실 수 있으며, [알약] ▶ [윈도우 보안 업데이트]를 통해서도 확인 및 진행하실 수 있습니다. 




5. 취약점 공격 차단 프로그램 설치하기 

알약 익스플로잇 쉴드와 같은 취약점 공격 차단 프로그램을 설치하여 취약점을 통해 감염되는 악성코드를 차단합니다. 



6. 중요파일 권한 변경

랜섬웨어로 인해 암호화되는 파일에는 읽기/쓰기 권한이 부여되어 있습니다. 사용자가 임의로 중요 파일에 대한 쓰기 권한을 제거한 후 읽기권한만 부여한다면, 랜섬웨어에 감염되어도 파일들을 안전하게 보호할 수 있습니다. 파일 우클릭 ▶ [속성] ▶ [읽기전용] 체크를 통해 파일 권한을 변경할 수 있습니다.



그러나 사용자 역시 해당 파일에 대해서는 읽기 권한만 부여되기 때문에 수정이나 다른 작업을 진행하기 위해서는 파일에 대한 권한을 다시 수정해야 한다는 불편함이 있습니다.



감염이 되었어요. 어떻게 해야 하나요?


1. 윈도우 시점복구 기능 사용

MS에서는 윈도우 시점복구 기능을 제공하고 있습니다. 윈도우 시점복구는 특정 과거 시점으로 되돌려 주는 것으로, 윈도우 보안 업데이트를 진행 시 자동으로 윈도우 시점복구를 생성합니다. 특정 시점복구 이후에 생성된 파일은 복구할 수 없다는 한계가 존재하지만, 시점복구 이전의 파일들에 대해서 복원이 가능합니다. 단 사용자의 문서나 사진파일의 경우, 시점복구 이후에도 복원이 이뤄지지 않는 문제가 있으므로 백업이 가장 중요합니다. 

 


시점복구 방법 자세히 알아보기 ▶ http://blog.alyac.co.kr/168



2. 사용자 파일 백업 및 복원 기능 사용

윈도우에서 제공하는 '사용자 파일 백업 및 복원 기능'을 이용해 랜섬웨어에 감염되기 이전의 사용자 파일을 불러올 수 있습니다. 단 이 기능도 사용자 파일 백업 기능을 통해 미리 사용자 파일을 백업한 경우만 복원이 가능합니다.

만약 윈도우의 모든 파일을 복구시키지 않고 몇몇 중요한 파일들만 복구하고 싶은 경우에는 ShadowExplorer 툴을 사용하여 파일을 복구시킬 수 있습니다.


 ShadowExplorer Tool 다운로드 바로가기 


단, 해당 툴을 사용하기 위해서는 반드시 랜섬웨어 감염 전부터 '사용자 파일 백업' 기능이 사전에 활성화되어 있어야 하며, 데이터가 백업된 날짜가 악성코드에 감염되기 이전 시점이어야 합니다. 



3. 복호화 사이트 방문

랜섬웨어는 비대칭 암호화 방식을 사용하고 있으므로 개인키가 있어야만 암호화된 파일을 복호화시킬 수 있습니다. 최근 이러한 랜섬웨어가 기승을 부리자, 해외 보안업체 중 일부는 경찰과 협력해 공격자들의 개인키들을 수집하여 암호화된 파일을 복호화해주는 서비스를 제공하고 있습니다. 그러나 개인키가 수집되지 않은 랜섬웨어로 암호화된 파일들은 복호화시킬 수 없으므로 참고해 주시기 바랍니다.


◆ 크립토락커 복호화 사이트 바로가기 


◆ CoinVault 복호화 사이트 바로가기 



현재 알약에서는 해당 악성코드를 Trojan.Ransom.CTBLocker, Trojan.Ransom.cryptolocker로 탐지하고 있으며, 변종이 발견되는 대로 업데이트 할 예정입니다. 


관련글 더보기

댓글 영역