Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

추석연휴 한국에서 다수 발견된 ‘올크라이(AllCry)’ 랜섬웨어가 소강 국면에 돌입했다. 하지만, 변종 출현 가능성이 있기 때문에 긴장을 늦출 수 없는 상황이다. 

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 지난달 26일부터 올크라이(AllCry) 랜섬웨어가 국내에 전파됐다. 한국의 특정 웹하드 설치 프로그램, 잠재적으로 불필요한 프로그램(PUP) 등을 변조해 사용자 몰래 유포된 것으로 조사됐다. 

영어·중국어뿐 아니라 한국어를 제공하는 점, 명령제어(C&C) 서버를 한국에 둔 점, 피해도 국내에서만 발생된 것을 살펴봤을 때 추석연휴 기간 한국을 겨냥한 것으로 보인다. 

다행히, 이스트시큐리티가 이를 최초 발견 후 한국인터넷진흥원(KISA)과 상황을 공조한 후 현재 올크라이 랜섬웨어는 활동을 멈췄다. 

랜섬웨어 감염 때 해킹된 것으로 추정되는 국내 특정 사이트로 감염자 아이디값을 전송하고 해당 사이트에서 응답을 받은 후부터 암호화 작업을 시작하게 된다. KISA는 해당 웹사이트 접속을 차단, 더 이상 랜섬웨어가 암호화 활동을 하지 못하게 조치시켰다. 다만, 변종이 출현할 경우를 대비해 주의를 기울여야 한다.

올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작돼 있으며, 분석 및 탐지 회피 등을 위해 ‘.NET Reactor’ 코드 프로텍터로 패킹(Packing)됐다. 해당 웹하드 프로그램 서비스를 이용하고 있거나 불필요한 제휴·스폰서 프로그램이 설치됐다면 올크라이 랜섬웨어에 노출될 위험이 있다. 

내부에 난독화돼 숨겨진 코드를 분리하면 실제 닷넷 기반으로 만들어진 파일을 추출할 수 있게 된다. 코드 내부에는 원본(allcrys.exe) 모듈명도 포함돼 있기도 하지만, 파일 속성값에는 저작권이 마이크로소프트로 위장돼 있고 ‘allcyrs’ 이름으로 잘못된 오타도 있다.

랜섬웨어가 작동되면 해킹된 것으로 추정되는 한국의 특정 웹서버로 감염자의 하드웨어 코드를 전송하고 응답을 대기하게 된다. 응답이 정상적으로 수신되면 그때부터 암호화 작업이 시작된다. 현재는 통신 접속을 차단해 정상적으로 암호화를 진행할 수 없다.

감염활동이 정상적으로 진행되면 윈도 운영체제 드라이브(C:) 최상위 경로에 ‘allcry.exe’ 이름의 다국어 지원 랜섬화면 파일을 생성한다. 또, 레지스트리를 조작해 ‘.allcry’ 확장자로 암호화된 파일을 실행 때 ‘allcry.exe’ 파일이 실행되도록 조작한다.

올크라이 랜섬웨어는 ‘.hwp’ 문서 파일 뿐만 아니라 일부 암호화 대상 경로가 아닌 ‘.exe’ 실행 파일들 역시 암호화가 되어 정상적인 프로그램 사용에 어려움이 발생할 수 있다. 

이는 기존의 랜섬웨어와 차별화되는 부분이다. 보통의 경우, 사진·문서·동영상 등의 파일을 암호화해 사용자가 몸값을 지불하도록 협박하는데 올크라이 랜섬웨어는 당장 사용해야 하는 응용프로그램까지 암호화시키기 때문이다. 

문종현 이스트시큐리티 이사는 “개인은 사진·동영상 파일을, 회사는 문서를 중요하게 생각하는데 이를 암호화시켜 끈질기게 비트코인을 요구하는데 올크라이 랜섬웨어는 응용프로그램을 암호화시켜 급하게 쓰는 프로그램을 실행시키지 못하게 한다”며 “이 경우, 사용자는 몸값 지불을 포기하고 포맷부터 할 가능성이 높기 때문에 단순한 랜섬웨어 범죄를 넘어 사이버테러쪽도 의심할 수 있다”고 말했다. 

랜섬웨어에 감염되면 바탕화면에 ‘readme.txt’ 랜섬노트 파일을 생성하고 내부에는 영문으로 0.2 비트코인 지불을 요구한다. 올크라이 랜섬웨어 제작자는 이스라엘과 나이지리아의 이메일 주소를 사용한다. 일부 오타가 포함된 한글 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일주소, 비트코인 지갑주소 등을 안내한다.

문 이사는 “이스트시큐리티는 KISA와 공조해 신속하게 올크라이 랜섬웨어를 차단, 현재 소강상태에 접어들었으나 다시 변종을 통해 활동할 수 있기 때문에 예의주시하고 있다”며 “이용자들은 백신 프로그램을 업데이트하는 등의 노력을 기울여야 한다”고 전했다. 



---


서버 운영하시는 분들 조심해야 할 것 같아요...

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

tamarix

2017.10.10 00:15
가입일: 2018:11.20
총 게시물수: 4
총 댓글수: 225

아~~그놈의 렌섬웨어~~으~~

profile

Bobono

2017.10.10 08:26
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815
서버 운영하시는 분들은 많이 불안하실 듯...
profile

덕애

2017.10.12 18:23
가입일: 2017:10.12
총 게시물수: 51
총 댓글수: 343

랜섬웨어를 박멸하자!!! 방법은 없을까?

profile

루인루

2017.12.07 00:39
가입일:
총 게시물수: 1
총 댓글수: 104

잘읽고 갑니다

profile

mantoman

2017.12.27 16:45
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다...

profile

suhyou

2018.01.16 10:18
가입일:
총 게시물수: 1
총 댓글수: 784
정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
470 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 + 17 크로커스 01-20 482
469 보안 소식 홈피 방문만으로 감염되는 ‘체포 협박’ 랜섬웨어 매트릭스 출현 + 12 ordo 05-07 301
468 보안 소식 호기심에 클릭했다가… 음란물 위장 악성코드 '주의' + 11 티오피 08-04 209
467 보안 소식 행자부, ‘개인영상정보 보호법’ 제정안 입법예고 + 9 언제나 12-15 77
466 보안 소식 해킹해드립니다…"공격 1회 50만원, 좀비PC 300원" + 5 Op 03-08 253
465 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 232
464 보안 소식 해킹 여부는 보안사항 + 5 덕애 10-12 231
463 보안 소식 해커들의 연말연시 하루 일과를 예상해 본다면? file + 9 따봉 12-23 51
462 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 33
461 보안 소식 해커, 악성 코드로 ATM 기기에서 현금 인출 + 6 우오아아아웅 10-03 323
460 보안 소식 해외 직구족 노리는 악성코드? 페이팔 계정 탈취 주의! + 12 j1159 03-03 233
459 일반 한컴오피스 취약점 공격 차단 가능한가? [네트워크 보안장비 체크포인트 #3, 토크아이티, 파이어아이] + 10 매니안 10-22 393
458 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 436
457 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 398
456 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 424
455 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 793
454 보안 소식 한국 사이트 100여곳 홈페이지 변조...왜? file + 2 티오피 08-28 227
453 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 285
» 보안 소식 한국 겨냥 ‘올크라이’ 랜섬웨어 소강상태 “긴장 늦춰선 안 돼” + 6 우오아아아웅 10-03 294
451 보안 소식 학회가 뽑은 2017년 정보보호 10대 이슈 file + 7 따봉 01-02 77
450 보안 소식 하나투어’ 100만건 이어 화장품 쇼핑몰 ‘뷰티퀸’까지 고객정보 털렸 file + 5 따봉 10-18 133
449 보안 소식 핀테크 시대, 사용성과 안전성의 두 마리 토끼를 잡아라 file + 6 따봉 01-04 56
448 보안 소식 프랑스 해커, 모든 삼성 스마트폰 벽돌로 만들 수 있는 방법 발견 kargans 05-27 52
447 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 240
446 보안 소식 포털 인터넷 뉴스 ‘아웃링크’ 방식 통해 랜섬웨어 유포 루릿페 02-20 109