랜섬웨어 방어 기능을 우회하는 Cryptowall 포착

랜섬웨어 방어 기능을 우회하는 Cryptowall 포착

최근 안티랜섬웨어 솔루션 및 실시간 파일백업 솔루션을 우회하는 변종 Cryptowall 랜섬웨어가 확인되었습니다.

해당 Cryptowall의 경우 Angler Exploit Kit을 활용하여 유포되고 있는 것은 기존과 유사하나, 이전 Cryptowall과 다르게 안티랜섬웨어 기능을 우회할 수 있도록 암호화하는 동작방식을 일부 변경하였습니다.

파일이 변경되는 부분을 감지하여 랜섬웨어의 공격을 차단하고 파일을 실시간으로 백업하는 기능을 가진 몇몇 안티랜섬웨어 솔루션의 감시를 회피하기 위해, 새로 발견된 랜섬웨어는 일단 기존 사용자PC에 존재하는 파일에 대한 파일명을 한번 변경한 후에 암호화를 진행하고 있습니다.

좀 더 자세히 설명해드리면 다음과 같습니다.

1. "A.doc"라는 사용자 문서파일을 기존에 바로 암호화하던 방식을 살짝 변경해서 "A.doc.tf4"같은 형태로 1차적으로 파일명을 임의로 변경합니다. 

2. 이를 통해 파일확장자 형식(doc,hwp,xlsx,pdf 등)을 변경하여 기존 안티랜섬웨어 솔루션들의 감시대상 모니터링을 우회할 수 있게 됩니다.

3. 그 이후에 랜섬웨어가 다시 파일 암호화를 진행하게 됩니다. 

 이러한 방식을 통해 안티랜섬웨어 솔루션들이 랜섬웨어의 암호화 시점을 체크하기 어렵게 방해하고 있습니다.

<그림1. 랜섬웨어가 파일암호화를 진행하기 전에 사용자PC에 저장된 파일명을 임의로 변경한 모습> 

랜섬웨어의 공격은 계속 진화되고 있습니다. 초반 랜섬웨어가 쓰기권한이 없는 문서는 암호화하지 않는 것을 착안하여 중요문서의 파일 권한을 읽기전용으로 변경하면 파일을 보호할 수 있다는 내용이 알려지자, 얼마전부터 Crypt0L0cker에서는 파일권한에 쓰기속성이 없는 경우 파일권한을 강제로 변경한 후 암호화를 진행하는 형태로 사용자의 방어를 무력화시키고 있습니다.

랜섬웨어의 공격에 대비하여, 사용중인 OS와 SW의 보안업데이트를 철저히 진행하고 취약점차단 솔루션 및 백신을 설치하는 것은 가장 기본이며 필수입니다. 

하지만, 랜섬웨어 방어 기능 또는 관련 솔루션에 대응하여 계속 진화되고 있는 랜섬웨어의 공격에서 대비하는 가장 효과적인 방법은 중요문서에 대하여 별도매체에 주기적으로 백업을 진행하는 것이 가장 효과적인 예방책입니다. 시큐어디스크(https://www.securedisk.co.kr)과 같은 중앙백업을 통해 랜섬웨어에 설령 감염되더라도 보관된 문서를 100% 복구할 수 있는 솔루션을 활용하시는 것도 효과적인 예방책이 될 수 있습니다.

해당 랜섬웨어 변종의 경우 알약에서 Trojan.Ransom.CryptoWall 로 탐지하고 있으며 지속적으로 랜섬웨어 변종을 모니터링/대응하고 있습니다.