메뉴 건너뛰기

× ◈ 공지 ◈ 후원내용 하나 추가 합니다   [후원 공지]참여 바랍니다

오에스매니아

08

2018-Jun

윈도정보 국내 사용자 주변을 맴도는 랜섬웨어 셋

작성자: 구피 조회 수: 658 PC모드

국내 사용자 주변을 맴도는 랜섬웨어 셋


평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안의 관점에서 바라본 2018년은 랜섬웨어로 시작해 여전히, 아니 심지어 두 배는 늘어난 듯 번잡하다. 

 

전 세계적으로 지난 2017년에 비해 올해 랜섬웨어는 다소 주춤하고 가상화폐 채굴 또는 탈취 악성코드가 증가하는 추세지만, 국내에서는 여전히 랜섬웨어가 압도적인 영향력을 보이고 있다. 특히 지난 4월을 기점으로 특정 랜섬웨어의 변종이 지속적으로 국내에 유포되며 피해를 야기하고 있다. 이 글에서는 올해 국내에서 주로 유포되고 있는 랜섬웨어 종류에 대해 다시 한 번 짚어보고, 최신 공격 방식에 대해 알아본다. 

 

2018년 선발은 매그니베르 랜섬웨어

지난 4월 초, 매그니베르(Magniber) 랜섬웨어와 관련 변종이 잇따라 유포됐다. 매그니베르 랜섬웨어가 국내에 처음 유포되기 시작한 것은 2017년 중반으로, 당시 한국어 윈도우 운영체제(OS)에서만 실행돼 대표적인 국내 사용자 타깃 랜섬웨어로 알려졌다.

 

 1806051807524808.JPG 

[그림 1] 매그니베르 랜섬웨어 랜섬노트 파일

 

이후 2018년 4월을 기점으로 다수의 매그니베르 랜섬웨어 변종이 국내에서 유포되기 시작했고, 이에 안랩은 매그니베르 랜섬웨어 전용 복구툴을 무료로 배포하는 등 사용자 피해를 최소화하기 위해 다각도로 대응에 나섰다. 

<관련 내용 더 보기>

좌절 금지! 매그니베르 랜섬웨어 무료 복구툴 확인하세요

안랩, 매그니베르 랜섬웨어 복구툴 업데이트

 

매그니베르 랜섬웨어는 인터넷 익스플로러(IE), 자바(JAVA), 플래시(Flash) 등의 취약점을 악용해 설치되며, 한국어 OS 환경일 경우 HWP 문서를 비롯해 800여 종이 넘는 확장자 파일을 암호화 한다. 

 

4월초부터 급격히 증가하는 모습을 보이던 매그니베르 랜섬웨어는 한달이 채 되지 않은 4월 25일을 기점으로 빠르게 소강 상태로 접어들었다. 그리고 갠드크랩(GandCrab) 랜섬웨어에 그 자리를 내줬다. 그러나 현재도 간간히 매그니베르 랜섬웨어 피해가 보고되고 있는 만큼 사용자의 주의가 필요하다. 

 

1806051807654548.JPG 

[그림 2] 매그니베르 랜섬웨어와 케르베르 랜섬웨어 추이 (*출처: 안랩 시큐리티대응센터, ASEC)

 

중원을 평정에 나선 공격수, 갠드크랩 랜섬웨어

매그니베르 랜섬웨어가 왕성하게 활동하던 지난 4월 초, 안랩은 갠드크랩 랜섬웨어(GandCrab v2.1)가 유포되고 있는 것을 파악, 예의 주시했다. 그 결과, 안랩은 4월 둘째 주에 접어들 무렵 갠드크랩 랜섬웨어가 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태 파일리스(Fileless) 형태로 유포되는 것을 확인했다.

 

 1806051807768417.JPG 

 

[그림 3] 갠드크랩 랜섬웨어 랜섬노트

 

이와 관련해 안랩은 갠드크랩 랜섬웨어의 파일 암호화를 억제할 킬 스위치(kill switch)를 발견, 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그를 통해 관련 파일과 함께 대응 방안을 상세히 공개했다. 이와 함께 V3 제품군의 URL 및 채킷 차단 방식을 이용해 갠드크랩 랜섬웨어 감염을 예방하는 방법을 상세히 소개하고, 최신 갠드크랩 랜섬웨어 변종을 탐지하기 위한 시그니처를 신속히 V3 엔진에 반영하는 등 갠드크랩 랜섬웨어 피해 확산 방지에 나섰다.

 

<관련 내용 더 보기>

갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?

 

이러한 안랩의 노력에도 불구하고 여전히 갠드크랩 랜섬웨어는 다양한 변종을 연이어 배포하며 지속적으로 피해를 야기하고 있다. 특히 초반에는 보안에 취약한 웹 사이트를 이용했으나 이후 ‘이미지 무단 도용 항의’ 등 교묘하게 위장한 이메일을 이용하는 등 다양한 방식을 통해 유포되고 있다. 

 

갠드크랩 랜섬웨어는 사용자 PC에 추가로 파일을 다운로드하는데, 이렇게 추가로 다운로드된 파일이 암호화 등 악성 행위를 수행한다. 다운로드 되는 파일의 포맷은 문서 파일(doc)뿐만 아니라 스크립트 파일(js), 바로가기 파일(LNK) 등으로 다양하다. 

 

지난 4월 중순부터 본격화되기 시작한 갠드크랩 랜섬웨어는 6월 현재까지도 지속적으로 변종을 유포하며 공격을 계속하고 있다. 

 

후방에서 활약 중인 크립트온 랜섬웨어 

갠드크랩 랜섬웨어가 국내 사용자에게 막대한 영향력을 발휘하고 있지만, 이 외에도 다양한 랜섬웨어가 꾸준히 유포되고 있다. 그 가운데 지난 5월 초부터 국내 사용자를 중심으로 유포되고 있는 크립트온(CryptOn) 랜섬웨어가 두드러진다. 이 크립트온 랜섬웨어는 과거에 발견된 크립트온 랜섬웨어의 변종으로 보인다. 

 

 1806051807903055.JPG 

[그림 4] 크립트온 랜섬웨어 랜섬노트

 

[그림 4]는 최신 크립트온 랜섬웨어의 랜섬노트로, 예전 크립트온 랜섬웨어와 달리 감염 피해자에게 토르(Tor) 브라우저를 설치하고 토르 URL을 통해 공격자와 온라인 채팅을 하도록 유도하고 있다. 채팅을 통해 공격자는 500 달러(한화 약 53만원) 상당의 비트코인 또는 이더리움 가상화폐를 요구한다. 공격자가 송금을 요구하며 알려준 가상화폐 지갑 주소를 조회한 결과, 피해자가 전송한 금액을 다른 지갑으로 다시 송금하는 것으로 확인됐다. 다수의 가상화폐 지갑을 사용함으로써 공격자에 대한 추적을 더욱 어렵게 한 것이다.

 

개인, 기업 모두 적극적으로 수비 라인에 가담해야…

매그니베르부터 갠드크랩, 크립트온까지 올해 초부터 다양한 랜섬웨어가 끊임없이 등장하고 있다. 랜섬웨어 제작자들은 더 큰 금전적 이득을 얻기 위해 다양하고 교묘한 방법으로 랜섬웨어를 유포하고 있다. ‘랜섬웨어’라는 악성코드의 특성 상, 대부분의 경우 일단 감염되면 암호화된 파일을 복구하기 어렵다. 랜섬웨어 제작자에게 돈을 보내더라도 파일을 복구해준다는 보장도 없다. 따라서 늘 강조하듯, 랜섬웨어는 감염되지 않도록 노력하는 것이 최선의 방어다. 

 

이와 함께 알 수 없는 사람이 보낸 이메일 확인을 자제하고, 신뢰성이 확인되지 않은 웹사이트 방문 또한 주의하는 습관이 필요하다. 또한 사용 중인 운영체제와 프로그램의 최신 보안 패치를 적용해야 하며, 중요한 문서나 파일은 주기적으로 백업하는 것이 바람직하다. 

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

..

엮인글 :
profile

취람

2018.06.08 11:06
잘 보았습니다. 이거 걸린 분들 보니 정말... 가슴이 아프더군요
profile

f포메이션

2018.06.08 12:30
이놈의 랜섬웨어는 자꾸자꾸 만드나보네요... 역시 돈이 되서 그러는 것일까요.
예전의 바이러스는 그냥 망가뜨리는 수준이었는데, 이건 망가뜨리면서 돈을 뜯어내가니..
profile

엔냐

2018.06.08 15:50
없어져야 할 것들인데...자꾸 변종이 나오네요
profile

고감맨

2018.06.08 20:39
좋은 정보 감사합니다..
더욱 강한 놈들이 나오는군요..
profile

귀여운어흥이

2018.06.08 22:22
요즘 바이러스보다 랜섬웨어가 정말 무섭더라구요 ,,
최대한 사용자가 방어할수있을만큼은 항상대비를해야곘내요 그리고 좋은 정보내요 ,,
profile

꼼팡이

2018.06.09 01:58
진짜 악질인 놈들이네여
profile

목표달성

2018.06.09 09:35
정보 감사합니다.
profile

행운아

2018.06.09 12:02
정보 감사합니다.
profile

동백섬

2018.06.09 17:50
수고 많으셨습니다.
profile

mcssin

2018.06.15 17:22
제가 걸린게 이건가 보네요...
List of Articles

IT정보 [ 삼성전자, '기어S4' 운영체제 타이젠OS 유지할 듯 ]

 삼성전자가 스마트워치 '기어' 시리즈의 운영체제(OS)로 기존 타이젠 OS를 유지할 것으로 보인다고 해외 IT매체 GSM아레나가 IT트위터리안 에반 블래스(@evleak...

  • 등록일: 2018-06-11

528

VIEWS

12

COMMENTED

윈도정보 6월 8일 Adobe Flash Player Update (KB4287903)

Security Update for Adobe Flash Player for Windows 10 Version 1803 (KB4287903) [x64]  http://download.windowsupdate.com/d/msdownload/update/software/se...

  • 등록일: 2018-06-08

357

VIEWS

14

COMMENTED

윈도정보 국내 사용자 주변을 맴도는 랜섬웨어 셋

국내 사용자 주변을 맴도는 랜섬웨어 셋 평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안...

  • 등록일: 2018-06-08

658

VIEWS

10

COMMENTED

윈도정보 Windows RS5 Inside Preview 17686 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-06-07

277

VIEWS

4

COMMENTED

유용정보 nvidia DisplayPort 1.3 / 1.4 펌웨어 업데이트

최신 디스플레이 포트 1.3 / 1.4 기능을 사용하려면, 그래픽 카드는 펌웨어 업데이트가 필요할 수 있습니다. 업데이트하지 않고, 디스플레이 포트 1.3 / 1.4 모니...

  • 등록일: 2018-06-07

444

VIEWS

5

COMMENTED

윈도정보 Windows RS5 Inside Preview 17682 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-06-01

434

VIEWS

7

COMMENTED

윈도정보 Windows RS5 Inside Preview 17677 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-05-25

658

VIEWS

10

COMMENTED

IT정보 [ 갤럭시S7, 갤S9 기능 맛본다…24일 오레오 업데이트 출시 ]

삼성전자의 2016년 주력 스마트폰 갤럭시S7과 갤럭시S7 엣지에 마침내 안드로이드 8.0 오레오(Oreo) 업데이트가 배포됐다. 관련 업계에 따르면 삼성전자는 24일...

  • 등록일: 2018-05-25

914

VIEWS

7

COMMENTED

IT정보 [ 삼성전자, '웨어OS' 품은 스마트워치 ]

 삼성전자와 구글이 웨어러블 기기 시장에서 다시 밀월 관계를 회복할 것으로 보인다. 23일(현지시간) 폰아레나 등 외신은 IT트위터리안 에반 블래스(@evleaks) ...

  • 등록일: 2018-05-24

492

VIEWS

10

COMMENTED

IT정보 QLC SSD 시장 열린다, 마이크론과 인텔 QLC NAND 양산 발표

TLC NAND가 일반화 된 지금, 다음 단계를 준비하던 NAND 제조사들이 드디어 QLC NAND 시장에 손을 대기 시작했다. NAND 플래시 시장에 주력해 온 마이크론이 인...

  • 등록일: 2018-05-24

703

VIEWS

7

COMMENTED

윈도정보 Windows 10 Version 1803에 대한 누적 업데이트(KB4100403)

Cumulative Update for Windows 10 Version 1803 (KB4100403) : 17134.81 1803 for x64-based Systems (KB4100403) http://download.windowsupdate.com/d/msdownl...

  • 등록일: 2018-05-24

795

VIEWS

10

COMMENTED

윈도정보 "은행의 블록체인 사용, 예상보다 빠를 것"

"은행의 블록체인 사용, 예상보다 빠를 것" 탈중앙화한 분산 원장 기술인 블록체인(Blockchain)을 은행이 조만간 사용하고, 관련 사업에 뛰어들 것이라는 관측이 ...

  • 등록일: 2018-05-24

145

VIEWS

일반정보 해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의

해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의 드레이텍(DrayTek) 라우터에서 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수...

  • 등록일: 2018-05-24

134

VIEWS

유용정보 업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의!

업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의! 최근 업무 관련 제목으로 위장해 사용자의 웹 메일 계정 정보 탈취를 시도하는 피싱 메일이 유포되고 있다....

  • 등록일: 2018-05-24

105

VIEWS

2

COMMENTED

윈도정보 Windows 10 Version 1709에 대한 누적 업데이트(KB4103714)

Cumulative Update for Windows 10 Version 1709 (KB4103714) : 16299.461 1709 for x64-based Systems (KB4103714) http://download.windowsupdate.com/d/msdown...

  • 등록일: 2018-05-22

381

VIEWS

12

COMMENTED

위로