Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

추석연휴 한국에서 다수 발견된 ‘올크라이(AllCry)’ 랜섬웨어가 소강 국면에 돌입했다. 하지만, 변종 출현 가능성이 있기 때문에 긴장을 늦출 수 없는 상황이다. 

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 지난달 26일부터 올크라이(AllCry) 랜섬웨어가 국내에 전파됐다. 한국의 특정 웹하드 설치 프로그램, 잠재적으로 불필요한 프로그램(PUP) 등을 변조해 사용자 몰래 유포된 것으로 조사됐다. 

영어·중국어뿐 아니라 한국어를 제공하는 점, 명령제어(C&C) 서버를 한국에 둔 점, 피해도 국내에서만 발생된 것을 살펴봤을 때 추석연휴 기간 한국을 겨냥한 것으로 보인다. 

다행히, 이스트시큐리티가 이를 최초 발견 후 한국인터넷진흥원(KISA)과 상황을 공조한 후 현재 올크라이 랜섬웨어는 활동을 멈췄다. 

랜섬웨어 감염 때 해킹된 것으로 추정되는 국내 특정 사이트로 감염자 아이디값을 전송하고 해당 사이트에서 응답을 받은 후부터 암호화 작업을 시작하게 된다. KISA는 해당 웹사이트 접속을 차단, 더 이상 랜섬웨어가 암호화 활동을 하지 못하게 조치시켰다. 다만, 변종이 출현할 경우를 대비해 주의를 기울여야 한다.

올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작돼 있으며, 분석 및 탐지 회피 등을 위해 ‘.NET Reactor’ 코드 프로텍터로 패킹(Packing)됐다. 해당 웹하드 프로그램 서비스를 이용하고 있거나 불필요한 제휴·스폰서 프로그램이 설치됐다면 올크라이 랜섬웨어에 노출될 위험이 있다. 

내부에 난독화돼 숨겨진 코드를 분리하면 실제 닷넷 기반으로 만들어진 파일을 추출할 수 있게 된다. 코드 내부에는 원본(allcrys.exe) 모듈명도 포함돼 있기도 하지만, 파일 속성값에는 저작권이 마이크로소프트로 위장돼 있고 ‘allcyrs’ 이름으로 잘못된 오타도 있다.

랜섬웨어가 작동되면 해킹된 것으로 추정되는 한국의 특정 웹서버로 감염자의 하드웨어 코드를 전송하고 응답을 대기하게 된다. 응답이 정상적으로 수신되면 그때부터 암호화 작업이 시작된다. 현재는 통신 접속을 차단해 정상적으로 암호화를 진행할 수 없다.

감염활동이 정상적으로 진행되면 윈도 운영체제 드라이브(C:) 최상위 경로에 ‘allcry.exe’ 이름의 다국어 지원 랜섬화면 파일을 생성한다. 또, 레지스트리를 조작해 ‘.allcry’ 확장자로 암호화된 파일을 실행 때 ‘allcry.exe’ 파일이 실행되도록 조작한다.

올크라이 랜섬웨어는 ‘.hwp’ 문서 파일 뿐만 아니라 일부 암호화 대상 경로가 아닌 ‘.exe’ 실행 파일들 역시 암호화가 되어 정상적인 프로그램 사용에 어려움이 발생할 수 있다. 

이는 기존의 랜섬웨어와 차별화되는 부분이다. 보통의 경우, 사진·문서·동영상 등의 파일을 암호화해 사용자가 몸값을 지불하도록 협박하는데 올크라이 랜섬웨어는 당장 사용해야 하는 응용프로그램까지 암호화시키기 때문이다. 

문종현 이스트시큐리티 이사는 “개인은 사진·동영상 파일을, 회사는 문서를 중요하게 생각하는데 이를 암호화시켜 끈질기게 비트코인을 요구하는데 올크라이 랜섬웨어는 응용프로그램을 암호화시켜 급하게 쓰는 프로그램을 실행시키지 못하게 한다”며 “이 경우, 사용자는 몸값 지불을 포기하고 포맷부터 할 가능성이 높기 때문에 단순한 랜섬웨어 범죄를 넘어 사이버테러쪽도 의심할 수 있다”고 말했다. 

랜섬웨어에 감염되면 바탕화면에 ‘readme.txt’ 랜섬노트 파일을 생성하고 내부에는 영문으로 0.2 비트코인 지불을 요구한다. 올크라이 랜섬웨어 제작자는 이스라엘과 나이지리아의 이메일 주소를 사용한다. 일부 오타가 포함된 한글 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일주소, 비트코인 지갑주소 등을 안내한다.

문 이사는 “이스트시큐리티는 KISA와 공조해 신속하게 올크라이 랜섬웨어를 차단, 현재 소강상태에 접어들었으나 다시 변종을 통해 활동할 수 있기 때문에 예의주시하고 있다”며 “이용자들은 백신 프로그램을 업데이트하는 등의 노력을 기울여야 한다”고 전했다. 



---


서버 운영하시는 분들 조심해야 할 것 같아요...

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

tamarix

2017.10.10 00:15
가입일: 2018:11.20
총 게시물수: 4
총 댓글수: 225

아~~그놈의 렌섬웨어~~으~~

profile

Bobono

2017.10.10 08:26
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815
서버 운영하시는 분들은 많이 불안하실 듯...
profile

덕애

2017.10.12 18:23
가입일: 2017:10.12
총 게시물수: 51
총 댓글수: 343

랜섬웨어를 박멸하자!!! 방법은 없을까?

profile

루인루

2017.12.07 00:39
가입일:
총 게시물수: 1
총 댓글수: 104

잘읽고 갑니다

profile

mantoman

2017.12.27 16:45
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다...

profile

suhyou

2018.01.16 10:18
가입일:
총 게시물수: 1
총 댓글수: 784
정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 383
320 보안 소식 메가스터디 개인정보 또 유출 + 6 우오아아아웅 10-03 315
» 보안 소식 한국 겨냥 ‘올크라이’ 랜섬웨어 소강상태 “긴장 늦춰선 안 돼” + 6 우오아아아웅 10-03 294
318 보안 소식 디지털 서명없이 배포되고 있는 네이트온(NateOn) 6.0.9.0 설치 파일 + 6 티오피 09-29 303
317 보안 소식 파일암호화에 부팅도 불가능하게 하는 레드부트(RedBoot) 랜섬웨어 감염 주의 + 5 티오피 09-29 286
316 보안 소식 美 DHS 연방정부에서 카스퍼스키 제품 사용금지 운영지침 발표 + 4 티오피 09-29 259
315 보안 소식 록키(Locky) 랜섬웨어 변종 등장 + 4 티오피 09-29 254
314 보안 소식 애플의 macOS High Sierra 익스플로잇, 해커들이 키 체인 비밀번호를 순수 텍스트 형태로 훔치는데 악용할 수 있어 + 4 티오피 09-29 235
313 보안 소식 Your data is a hostage, 과감히 실체를 드러내는 랜섬웨어 + 6 티오피 09-26 179
312 보안 소식 악성 첨부파일 형태로 이용당한 한글 워드프로세서와 PostScript + 5 티오피 09-26 147
311 보안 소식 540,000대의 차량 추적 장치의 비밀번호, 온라인에 유출 돼 + 4 티오피 09-26 86
310 보안 소식 6개월마다 비밀번호 변경하면 과연 해킹으로부터 안전할까 + 6 티오피 09-26 103
309 보안 소식 문서편집 프로그램 공짜로 사용하려다 '악성코드 감염' + 5 티오피 09-26 80
308 보안 소식 "윈도 최적화SW 악성코드, 삼성·MS 지적재산 노렸다" + 6 티오피 09-25 134
307 보안 소식 이스트소프트 '알툴즈' 개인정보 유출. file + 13 파란하늘 09-06 155
306 보안 소식 스미싱 알림 모음 + 10 티오피 08-04 209
305 보안 소식 호기심에 클릭했다가… 음란물 위장 악성코드 '주의' + 11 티오피 08-04 209
304 보안 소식 MS는 20년동안 존재했던 SMB 취약점에 대해 수정하지 않겠다고 밝혔다 + 7 티오피 08-04 127
303 보안 자료 카스퍼스키랩 안티바이러스 무료화 + 15 정인 07-29 303
302 보안 소식 안랩, 'PC방 관리 프로그램' 이용한 악성코드 유포 주의 + 9 파란하늘 07-25 137
301 보안 소식 '직소' 랜섬웨어 변종 발견 + 8 파란하늘 07-24 147
300 백신 자료 어베스트 랜섬웨어 제거 및 복호화 프로그램 + 5 Shalom 07-21 481
299 보안 소식 빗썸 해킹 피해 지속…"어제도 수억원 털렸다" + 5 크로커스 07-21 128
298 일반 공유기·CCTV 해킹…우리집을 중국 해커가 엿본다 + 6 파란하늘 07-19 200
297 보안 소식 랜섬웨어 기승에...모방 악성파일까지 등장 file + 7 파란하늘 07-12 123
296 보안 소식 이번엔 '매트릭스' 랜섬웨어 …"4일 후엔 복구 불가"협박 + 9 크로커스 07-07 187