Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

국내 사용자 주변을 맴도는 랜섬웨어 셋


평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안의 관점에서 바라본 2018년은 랜섬웨어로 시작해 여전히, 아니 심지어 두 배는 늘어난 듯 번잡하다. 

 

전 세계적으로 지난 2017년에 비해 올해 랜섬웨어는 다소 주춤하고 가상화폐 채굴 또는 탈취 악성코드가 증가하는 추세지만, 국내에서는 여전히 랜섬웨어가 압도적인 영향력을 보이고 있다. 특히 지난 4월을 기점으로 특정 랜섬웨어의 변종이 지속적으로 국내에 유포되며 피해를 야기하고 있다. 이 글에서는 올해 국내에서 주로 유포되고 있는 랜섬웨어 종류에 대해 다시 한 번 짚어보고, 최신 공격 방식에 대해 알아본다. 

 

2018년 선발은 매그니베르 랜섬웨어

지난 4월 초, 매그니베르(Magniber) 랜섬웨어와 관련 변종이 잇따라 유포됐다. 매그니베르 랜섬웨어가 국내에 처음 유포되기 시작한 것은 2017년 중반으로, 당시 한국어 윈도우 운영체제(OS)에서만 실행돼 대표적인 국내 사용자 타깃 랜섬웨어로 알려졌다.

 

 1806051807524808.JPG 

[그림 1] 매그니베르 랜섬웨어 랜섬노트 파일

 

이후 2018년 4월을 기점으로 다수의 매그니베르 랜섬웨어 변종이 국내에서 유포되기 시작했고, 이에 안랩은 매그니베르 랜섬웨어 전용 복구툴을 무료로 배포하는 등 사용자 피해를 최소화하기 위해 다각도로 대응에 나섰다. 

<관련 내용 더 보기>

좌절 금지! 매그니베르 랜섬웨어 무료 복구툴 확인하세요

안랩, 매그니베르 랜섬웨어 복구툴 업데이트

 

매그니베르 랜섬웨어는 인터넷 익스플로러(IE), 자바(JAVA), 플래시(Flash) 등의 취약점을 악용해 설치되며, 한국어 OS 환경일 경우 HWP 문서를 비롯해 800여 종이 넘는 확장자 파일을 암호화 한다. 

 

4월초부터 급격히 증가하는 모습을 보이던 매그니베르 랜섬웨어는 한달이 채 되지 않은 4월 25일을 기점으로 빠르게 소강 상태로 접어들었다. 그리고 갠드크랩(GandCrab) 랜섬웨어에 그 자리를 내줬다. 그러나 현재도 간간히 매그니베르 랜섬웨어 피해가 보고되고 있는 만큼 사용자의 주의가 필요하다. 

 

1806051807654548.JPG 

[그림 2] 매그니베르 랜섬웨어와 케르베르 랜섬웨어 추이 (*출처: 안랩 시큐리티대응센터, ASEC)

 

중원을 평정에 나선 공격수, 갠드크랩 랜섬웨어

매그니베르 랜섬웨어가 왕성하게 활동하던 지난 4월 초, 안랩은 갠드크랩 랜섬웨어(GandCrab v2.1)가 유포되고 있는 것을 파악, 예의 주시했다. 그 결과, 안랩은 4월 둘째 주에 접어들 무렵 갠드크랩 랜섬웨어가 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태 파일리스(Fileless) 형태로 유포되는 것을 확인했다.

 

 1806051807768417.JPG 

 

[그림 3] 갠드크랩 랜섬웨어 랜섬노트

 

이와 관련해 안랩은 갠드크랩 랜섬웨어의 파일 암호화를 억제할 킬 스위치(kill switch)를 발견, 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그를 통해 관련 파일과 함께 대응 방안을 상세히 공개했다. 이와 함께 V3 제품군의 URL 및 채킷 차단 방식을 이용해 갠드크랩 랜섬웨어 감염을 예방하는 방법을 상세히 소개하고, 최신 갠드크랩 랜섬웨어 변종을 탐지하기 위한 시그니처를 신속히 V3 엔진에 반영하는 등 갠드크랩 랜섬웨어 피해 확산 방지에 나섰다.

 

<관련 내용 더 보기>

갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?

 

이러한 안랩의 노력에도 불구하고 여전히 갠드크랩 랜섬웨어는 다양한 변종을 연이어 배포하며 지속적으로 피해를 야기하고 있다. 특히 초반에는 보안에 취약한 웹 사이트를 이용했으나 이후 ‘이미지 무단 도용 항의’ 등 교묘하게 위장한 이메일을 이용하는 등 다양한 방식을 통해 유포되고 있다. 

 

갠드크랩 랜섬웨어는 사용자 PC에 추가로 파일을 다운로드하는데, 이렇게 추가로 다운로드된 파일이 암호화 등 악성 행위를 수행한다. 다운로드 되는 파일의 포맷은 문서 파일(doc)뿐만 아니라 스크립트 파일(js), 바로가기 파일(LNK) 등으로 다양하다. 

 

지난 4월 중순부터 본격화되기 시작한 갠드크랩 랜섬웨어는 6월 현재까지도 지속적으로 변종을 유포하며 공격을 계속하고 있다. 

 

후방에서 활약 중인 크립트온 랜섬웨어 

갠드크랩 랜섬웨어가 국내 사용자에게 막대한 영향력을 발휘하고 있지만, 이 외에도 다양한 랜섬웨어가 꾸준히 유포되고 있다. 그 가운데 지난 5월 초부터 국내 사용자를 중심으로 유포되고 있는 크립트온(CryptOn) 랜섬웨어가 두드러진다. 이 크립트온 랜섬웨어는 과거에 발견된 크립트온 랜섬웨어의 변종으로 보인다. 

 

 1806051807903055.JPG 

[그림 4] 크립트온 랜섬웨어 랜섬노트

 

[그림 4]는 최신 크립트온 랜섬웨어의 랜섬노트로, 예전 크립트온 랜섬웨어와 달리 감염 피해자에게 토르(Tor) 브라우저를 설치하고 토르 URL을 통해 공격자와 온라인 채팅을 하도록 유도하고 있다. 채팅을 통해 공격자는 500 달러(한화 약 53만원) 상당의 비트코인 또는 이더리움 가상화폐를 요구한다. 공격자가 송금을 요구하며 알려준 가상화폐 지갑 주소를 조회한 결과, 피해자가 전송한 금액을 다른 지갑으로 다시 송금하는 것으로 확인됐다. 다수의 가상화폐 지갑을 사용함으로써 공격자에 대한 추적을 더욱 어렵게 한 것이다.

 

개인, 기업 모두 적극적으로 수비 라인에 가담해야…

매그니베르부터 갠드크랩, 크립트온까지 올해 초부터 다양한 랜섬웨어가 끊임없이 등장하고 있다. 랜섬웨어 제작자들은 더 큰 금전적 이득을 얻기 위해 다양하고 교묘한 방법으로 랜섬웨어를 유포하고 있다. ‘랜섬웨어’라는 악성코드의 특성 상, 대부분의 경우 일단 감염되면 암호화된 파일을 복구하기 어렵다. 랜섬웨어 제작자에게 돈을 보내더라도 파일을 복구해준다는 보장도 없다. 따라서 늘 강조하듯, 랜섬웨어는 감염되지 않도록 노력하는 것이 최선의 방어다. 

 

이와 함께 알 수 없는 사람이 보낸 이메일 확인을 자제하고, 신뢰성이 확인되지 않은 웹사이트 방문 또한 주의하는 습관이 필요하다. 또한 사용 중인 운영체제와 프로그램의 최신 보안 패치를 적용해야 하며, 중요한 문서나 파일은 주기적으로 백업하는 것이 바람직하다. 

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

취람

2018.06.08 11:06
가입일: 2017:11.02
총 게시물수: 23
총 댓글수: 652
잘 보았습니다. 이거 걸린 분들 보니 정말... 가슴이 아프더군요
profile

f포메이션

2018.06.08 12:30
가입일: 2016:08.01
총 게시물수: 5
총 댓글수: 264
이놈의 랜섬웨어는 자꾸자꾸 만드나보네요... 역시 돈이 되서 그러는 것일까요.
예전의 바이러스는 그냥 망가뜨리는 수준이었는데, 이건 망가뜨리면서 돈을 뜯어내가니..
profile

엔냐

2018.06.08 15:50
가입일: 2018:04.24
총 게시물수: 66
총 댓글수: 493
없어져야 할 것들인데...자꾸 변종이 나오네요
profile

고감맨

2018.06.08 20:39
가입일: 2016:05.12
총 게시물수: 239
총 댓글수: 3144
좋은 정보 감사합니다..
더욱 강한 놈들이 나오는군요..
profile

귀여운어흥이

2018.06.08 22:22
가입일: 2018:04.12
총 게시물수: 8
총 댓글수: 174
요즘 바이러스보다 랜섬웨어가 정말 무섭더라구요 ,,
최대한 사용자가 방어할수있을만큼은 항상대비를해야곘내요 그리고 좋은 정보내요 ,,
profile

꼼팡이

2018.06.09 01:58
가입일: 2016:07.28
총 게시물수: 98
총 댓글수: 317
진짜 악질인 놈들이네여
profile

목표달성

2018.06.09 09:35
가입일:
총 게시물수: 1
총 댓글수: 382
정보 감사합니다.
profile

행운아

2018.06.09 12:02
가입일: 2015:11.28
총 게시물수: 49
총 댓글수: 605
정보 감사합니다.
profile

동백섬

2018.06.09 17:50
가입일: 2018:05.22
총 게시물수: 0
총 댓글수: 11
수고 많으셨습니다.
profile

mcssin

2018.06.15 17:22
가입일: 2016:07.17
총 게시물수: 0
총 댓글수: 2
제가 걸린게 이건가 보네요...
List of Articles

기타정보 파워렉스 부도설....역사 속으로 사라지나

10여년전 국산 SUN파워가 문을 닫고 국산 파워제조사로사 명맥을 유지하던 파워렉스가...... 아래원문 참고 바랍니다. http://dpg.danawa.com/news/view?boardSe...

  • 등록일: 2018-06-28

1419

VIEWS

32

COMMENTED

윈도정보 Windows 10 Version 1803에 대한 누적 업데이트(KB4284848)

Cumulative Update for Windows 10 Version 1803 (KB4284848) : 17134.137 1803 for x64-based Systems (KB4284848) http://download.windowsupdate.com/c/msdown...

  • 등록일: 2018-06-27

864

VIEWS

5

COMMENTED

MS소식 Windows Defender 맬웨어 방지 플랫폼에 대한 업데이트 file

Windows Defender 멀웨어 방지 플렛폼 업데이트 KB4052623(버전 4.16.17656.18052) 위 Windows Defender가 업데이트 되면서 프로그램 위치가 아래 표와 같이 변경...

  • 등록일: 2018-06-25

744

VIEWS

7

COMMENTED

유용정보 Browsec — 으로 자유로운 온라인 세상을 경험하십시오 file

Browsec — 으로 자유로운 온라인 세상을 경험하십시오 Browsec을 이용하여 얻을 수 있는 장점 모든 컨텐츠에 액세스  지리적 제약 없이 컨텐츠에 접근 고속 연결 ...

  • 등록일: 2018-06-25

507

VIEWS

2

COMMENTED

윈도정보 6월 22일 Windows 10 누적 업데이트입니다.

1. Cumulative Update for Windows 10 Version 1709 (KB4284822) : 16299.522 1709 for x64-based Systems (KB4284822) http://download.windowsupdate.com/d/msd...

  • 등록일: 2018-06-22

832

VIEWS

10

COMMENTED

일반정보 인텔 CPU 다른 취약점 발견 - 인텔의 모든 x86 마이크로 아키텍처 제품군 file

인텔 CPU에 Lazy FP state restore 기능을 악용하는 취약점이 발견됐습니다. 이 기능은 원래 실행 중인 애플리케이션의 FPU 상태를 일시적으로 저장하거나 복원하...

  • 등록일: 2018-06-16

953

VIEWS

11

COMMENTED

윈도정보 Windows RS5 Inside Preview 17692 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-06-15

509

VIEWS

3

COMMENTED

윈도정보 6월 13일 Windows 10 누적 업데이트입니다.

1. Cumulative Update for Windows 10 Version 1803 (KB4284835) : 17134.112 1803 for x64-based Systems (KB4284835) http://download.windowsupdate.com/c/msd...

  • 등록일: 2018-06-13

917

VIEWS

14

COMMENTED

유용정보 인텔, '수첩형 PC' 공개…태블릿과 e잉크를 한 번에 file

인텔이 최신 태블릿PC와 아날로그 필기 감성을 한 번에 잡은 PC를 공개했다.  IT 전문매체 더버지는 9일(이하 현지시각) 인텔이 5일부터 9일까지 대만에서 열린 ...

  • 등록일: 2018-06-12

819

VIEWS

12

COMMENTED

IT정보 [ 삼성전자, '기어S4' 운영체제 타이젠OS 유지할 듯 ]

 삼성전자가 스마트워치 '기어' 시리즈의 운영체제(OS)로 기존 타이젠 OS를 유지할 것으로 보인다고 해외 IT매체 GSM아레나가 IT트위터리안 에반 블래스(@evleak...

  • 등록일: 2018-06-11

582

VIEWS

12

COMMENTED

윈도정보 6월 8일 Adobe Flash Player Update (KB4287903)

Security Update for Adobe Flash Player for Windows 10 Version 1803 (KB4287903) [x64]  http://download.windowsupdate.com/d/msdownload/update/software/se...

  • 등록일: 2018-06-08

465

VIEWS

14

COMMENTED

윈도정보 국내 사용자 주변을 맴도는 랜섬웨어 셋

국내 사용자 주변을 맴도는 랜섬웨어 셋 평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안...

  • 등록일: 2018-06-08

761

VIEWS

10

COMMENTED

윈도정보 Windows RS5 Inside Preview 17686 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-06-07

420

VIEWS

4

COMMENTED

유용정보 nvidia DisplayPort 1.3 / 1.4 펌웨어 업데이트

최신 디스플레이 포트 1.3 / 1.4 기능을 사용하려면, 그래픽 카드는 펌웨어 업데이트가 필요할 수 있습니다. 업데이트하지 않고, 디스플레이 포트 1.3 / 1.4 모니...

  • 등록일: 2018-06-07

594

VIEWS

5

COMMENTED

윈도정보 Windows RS5 Inside Preview 17682 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-06-01

826

VIEWS

7

COMMENTED