한글로 감염메시지를 보여주는 Crypt0L0cker 랜섬웨어 또다시 유포중!

한글로 감염메시지를 보여주는 Crypt0L0cker 랜섬웨어 또다시 유포중!

감염되면 한글로 감염되었다는 내용과 함께 비트코인을 요구하는 Crypt0L0cker 랜섬웨어가 또다시 등장했습니다.

랜섬웨어란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217

Cyrpt0L0cker란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305

지난 주말부터 피해가 보고되고 있는 해당 랜섬웨어의 경우, 일단 감염되었을 경우 아래와 같은 한글로 제작된 화면을 띄우게 됩니다. 이전에 발견되었던 Crypt0L0cker와 거의 동일한 형태입니다.

암호화된 파일을 원래대로 되돌리기 위해서 해독프로그램을 구입하라는 메시지를 띄웁니다.

랜섬웨어 제작자는 시한을 정해두고, 이 시한까지 금액을 지불하지 않으면 그 이후부터는 가격이 2배로 상승한다고 랜섬웨어 피해자에게 구매를 종용합니다. 금액은 비트코인을 통해서만 지불이 가능합니다.

비트코인이란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/54

랜섬웨어 제작자는 공격을 통한 수익을 최대한 높이기 위해 사용자에게 암호화된 파일이 실제로 해독가능하다는 것을 보여주기 위해 1개의 파일을 선택하여 복호화를 진행합니다. 단 1MB를 초과하지 않는 사이즈로만 복호화가 가능하도록 제한을 걸어두기 때문에, 대부분 1MB가 상회하는 사용자의 중요파일을 복호화하는 것은 실제로는 어려울 것으로 판단됩니다.

지금까지 확인된 랜섬웨어를 뿌리는 경로를 살펴보면, 취약점을 악용한 Drive by Download 외에도 해외 스트리밍 성인 사이트 접속시 팝업창을 띄워서 설치를 유도하는 경우가 확인되었습니다.

랜섬웨어 피해를 최소화시키기 위한 방법

1. 중요한 파일들은 백업해 놓는 습관 기르기

현재까지 랜섬웨어에 의해 암호화된 파일을 완벽히 복호화하는 방법은 없습니다. 따라서 감염됐을 시 미리 백업해둔 파일을 이용해 파일을 복원하는 것이 가장 좋은 방법입니다. 중요한 파일들은 항상 백업해두는 습관을 기르는 것이 중요합니다.

2. 네트워크 폴더 사용자 접근 권한 변경

네트워크 폴더를 사용할 경우에는 해당 폴더로의 접근 권한을 읽기 권한만 부여해 피해가 확산되는 것을 최소화 시킬 수 있습니다. 그러나 되도록이면 네트워크 폴더를 사용하지 않는 것을 권장해 드립니다.  

3. 자주 사용하는 SW 최신으로 업데이트하기

드라이브 바이 다운로드 형태로 유포되는 랜섬웨어들과 같은 경우, 사용자 PC에 설치되어 있는 SW의 취약점을 이용한 공격으로 취약한 버전의 SW를 패치하지 않으면 랜섬웨어에 감염될 확률이 높습니다. 따라서 자주 사용하는 SW(Abode Flash Player, IE, java 등)를 최신 버전으로 업데이트 해주는 것이 중요합니다. 

4. 윈도우OS 최신으로 업데이트하기

MS는 매월 둘째 주 화요일 보안 업데이트를 진행하고 있습니다. 또한 고위험의 취약점이 발견되었을 경우, 비정기적으로 임시 보안업데이트를 진행하고 있습니다. 이러한 업데이트는 이미 알려진 취약점에 대하여 패치를 진행하는 것으로, 사용자 여러분들께서는 반드시 윈도우 보안업데이트를 최신 버전으로 유지해 주셔야 합니다. 윈도우 보안 업데이트는 [제어판] ▶ [Windows Update(윈도우7 기준)]에서 확인하실 수 있으며, [알약] ▶ [윈도우 보안 업데이트]를 통해서도 확인 및 진행하실 수 있습니다. 

5. 취약점 공격 차단 프로그램 설치하기 

알약 익스플로잇 쉴드와 같은 취약점 공격 차단 프로그램을 설치하여 취약점을 통해 감염되는 악성코드를 차단합니다. 

6. 중요파일 권한 변경

랜섬웨어로 인해 암호화되는 파일에는 읽기/쓰기 권한이 부여되어 있습니다. 사용자가 임의로 중요 파일에 대한 쓰기 권한을 제거한 후 읽기권한만 부여한다면, 랜섬웨어에 감염되어도 파일들을 안전하게 보호할 수 있습니다. 파일 우클릭 ▶ [속성] ▶ [읽기전용] 체크를 통해 파일 권한을 변경할 수 있습니다.

알약에서는 해당 랜섬웨어들에 대해 Trojan.Ransom.cryptolocker로 대응하고 있으며, 지속적인 모니터링을 통해 유포되는 랜섬웨어들에 대한 업데이트를 진행중에 있습니다.