메뉴 건너뛰기

오에스매니아

조회 수 579 추천 수 1 댓글 10
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

국내 사용자 주변을 맴도는 랜섬웨어 셋


평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안의 관점에서 바라본 2018년은 랜섬웨어로 시작해 여전히, 아니 심지어 두 배는 늘어난 듯 번잡하다. 

 

전 세계적으로 지난 2017년에 비해 올해 랜섬웨어는 다소 주춤하고 가상화폐 채굴 또는 탈취 악성코드가 증가하는 추세지만, 국내에서는 여전히 랜섬웨어가 압도적인 영향력을 보이고 있다. 특히 지난 4월을 기점으로 특정 랜섬웨어의 변종이 지속적으로 국내에 유포되며 피해를 야기하고 있다. 이 글에서는 올해 국내에서 주로 유포되고 있는 랜섬웨어 종류에 대해 다시 한 번 짚어보고, 최신 공격 방식에 대해 알아본다. 

 

2018년 선발은 매그니베르 랜섬웨어

지난 4월 초, 매그니베르(Magniber) 랜섬웨어와 관련 변종이 잇따라 유포됐다. 매그니베르 랜섬웨어가 국내에 처음 유포되기 시작한 것은 2017년 중반으로, 당시 한국어 윈도우 운영체제(OS)에서만 실행돼 대표적인 국내 사용자 타깃 랜섬웨어로 알려졌다.

 

 1806051807524808.JPG 

[그림 1] 매그니베르 랜섬웨어 랜섬노트 파일

 

이후 2018년 4월을 기점으로 다수의 매그니베르 랜섬웨어 변종이 국내에서 유포되기 시작했고, 이에 안랩은 매그니베르 랜섬웨어 전용 복구툴을 무료로 배포하는 등 사용자 피해를 최소화하기 위해 다각도로 대응에 나섰다. 

<관련 내용 더 보기>

좌절 금지! 매그니베르 랜섬웨어 무료 복구툴 확인하세요

안랩, 매그니베르 랜섬웨어 복구툴 업데이트

 

매그니베르 랜섬웨어는 인터넷 익스플로러(IE), 자바(JAVA), 플래시(Flash) 등의 취약점을 악용해 설치되며, 한국어 OS 환경일 경우 HWP 문서를 비롯해 800여 종이 넘는 확장자 파일을 암호화 한다. 

 

4월초부터 급격히 증가하는 모습을 보이던 매그니베르 랜섬웨어는 한달이 채 되지 않은 4월 25일을 기점으로 빠르게 소강 상태로 접어들었다. 그리고 갠드크랩(GandCrab) 랜섬웨어에 그 자리를 내줬다. 그러나 현재도 간간히 매그니베르 랜섬웨어 피해가 보고되고 있는 만큼 사용자의 주의가 필요하다. 

 

1806051807654548.JPG 

[그림 2] 매그니베르 랜섬웨어와 케르베르 랜섬웨어 추이 (*출처: 안랩 시큐리티대응센터, ASEC)

 

중원을 평정에 나선 공격수, 갠드크랩 랜섬웨어

매그니베르 랜섬웨어가 왕성하게 활동하던 지난 4월 초, 안랩은 갠드크랩 랜섬웨어(GandCrab v2.1)가 유포되고 있는 것을 파악, 예의 주시했다. 그 결과, 안랩은 4월 둘째 주에 접어들 무렵 갠드크랩 랜섬웨어가 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태 파일리스(Fileless) 형태로 유포되는 것을 확인했다.

 

 1806051807768417.JPG 

 

[그림 3] 갠드크랩 랜섬웨어 랜섬노트

 

이와 관련해 안랩은 갠드크랩 랜섬웨어의 파일 암호화를 억제할 킬 스위치(kill switch)를 발견, 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그를 통해 관련 파일과 함께 대응 방안을 상세히 공개했다. 이와 함께 V3 제품군의 URL 및 채킷 차단 방식을 이용해 갠드크랩 랜섬웨어 감염을 예방하는 방법을 상세히 소개하고, 최신 갠드크랩 랜섬웨어 변종을 탐지하기 위한 시그니처를 신속히 V3 엔진에 반영하는 등 갠드크랩 랜섬웨어 피해 확산 방지에 나섰다.

 

<관련 내용 더 보기>

갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?

 

이러한 안랩의 노력에도 불구하고 여전히 갠드크랩 랜섬웨어는 다양한 변종을 연이어 배포하며 지속적으로 피해를 야기하고 있다. 특히 초반에는 보안에 취약한 웹 사이트를 이용했으나 이후 ‘이미지 무단 도용 항의’ 등 교묘하게 위장한 이메일을 이용하는 등 다양한 방식을 통해 유포되고 있다. 

 

갠드크랩 랜섬웨어는 사용자 PC에 추가로 파일을 다운로드하는데, 이렇게 추가로 다운로드된 파일이 암호화 등 악성 행위를 수행한다. 다운로드 되는 파일의 포맷은 문서 파일(doc)뿐만 아니라 스크립트 파일(js), 바로가기 파일(LNK) 등으로 다양하다. 

 

지난 4월 중순부터 본격화되기 시작한 갠드크랩 랜섬웨어는 6월 현재까지도 지속적으로 변종을 유포하며 공격을 계속하고 있다. 

 

후방에서 활약 중인 크립트온 랜섬웨어 

갠드크랩 랜섬웨어가 국내 사용자에게 막대한 영향력을 발휘하고 있지만, 이 외에도 다양한 랜섬웨어가 꾸준히 유포되고 있다. 그 가운데 지난 5월 초부터 국내 사용자를 중심으로 유포되고 있는 크립트온(CryptOn) 랜섬웨어가 두드러진다. 이 크립트온 랜섬웨어는 과거에 발견된 크립트온 랜섬웨어의 변종으로 보인다. 

 

 1806051807903055.JPG 

[그림 4] 크립트온 랜섬웨어 랜섬노트

 

[그림 4]는 최신 크립트온 랜섬웨어의 랜섬노트로, 예전 크립트온 랜섬웨어와 달리 감염 피해자에게 토르(Tor) 브라우저를 설치하고 토르 URL을 통해 공격자와 온라인 채팅을 하도록 유도하고 있다. 채팅을 통해 공격자는 500 달러(한화 약 53만원) 상당의 비트코인 또는 이더리움 가상화폐를 요구한다. 공격자가 송금을 요구하며 알려준 가상화폐 지갑 주소를 조회한 결과, 피해자가 전송한 금액을 다른 지갑으로 다시 송금하는 것으로 확인됐다. 다수의 가상화폐 지갑을 사용함으로써 공격자에 대한 추적을 더욱 어렵게 한 것이다.

 

개인, 기업 모두 적극적으로 수비 라인에 가담해야…

매그니베르부터 갠드크랩, 크립트온까지 올해 초부터 다양한 랜섬웨어가 끊임없이 등장하고 있다. 랜섬웨어 제작자들은 더 큰 금전적 이득을 얻기 위해 다양하고 교묘한 방법으로 랜섬웨어를 유포하고 있다. ‘랜섬웨어’라는 악성코드의 특성 상, 대부분의 경우 일단 감염되면 암호화된 파일을 복구하기 어렵다. 랜섬웨어 제작자에게 돈을 보내더라도 파일을 복구해준다는 보장도 없다. 따라서 늘 강조하듯, 랜섬웨어는 감염되지 않도록 노력하는 것이 최선의 방어다. 

 

이와 함께 알 수 없는 사람이 보낸 이메일 확인을 자제하고, 신뢰성이 확인되지 않은 웹사이트 방문 또한 주의하는 습관이 필요하다. 또한 사용 중인 운영체제와 프로그램의 최신 보안 패치를 적용해야 하며, 중요한 문서나 파일은 주기적으로 백업하는 것이 바람직하다. 

Who's 구피

포인트: 4978 | 레벨: 3
profile

..


  • profile
    취람 2018.06.08 11:06
    잘 보았습니다. 이거 걸린 분들 보니 정말... 가슴이 아프더군요
  • profile
    f포메이션 2018.06.08 12:30
    이놈의 랜섬웨어는 자꾸자꾸 만드나보네요... 역시 돈이 되서 그러는 것일까요.
    예전의 바이러스는 그냥 망가뜨리는 수준이었는데, 이건 망가뜨리면서 돈을 뜯어내가니..
  • profile
    엔냐 2018.06.08 15:50
    없어져야 할 것들인데...자꾸 변종이 나오네요
  • profile
    고감맨 2018.06.08 20:39
    좋은 정보 감사합니다..
    더욱 강한 놈들이 나오는군요..
  • profile
    귀여운어흥이 2018.06.08 22:22
    요즘 바이러스보다 랜섬웨어가 정말 무섭더라구요 ,,
    최대한 사용자가 방어할수있을만큼은 항상대비를해야곘내요 그리고 좋은 정보내요 ,,
  • os
    mania
    꼼팡이 2018.06.09 01:58
    진짜 악질인 놈들이네여
  • os
    mania
    목표달성 2018.06.09 09:35
    정보 감사합니다.
  • os
    mania
    행운아 2018.06.09 12:02
    정보 감사합니다.
  • profile
    동백섬 2018.06.09 17:50
    수고 많으셨습니다.
  • os
    mania
    mcssin 2018.06.15 17:22
    제가 걸린게 이건가 보네요...

밀리터리 게시물


최신정보

IT 최신정보

  1. NEW

    방통위, 아이디 불법거래 상습 판매자 경찰 수사 의뢰

    방송통신위원회가 아이디 불법거래 상습 판매자 9명에 대해 경찰에 수사를 의뢰한다.  방통위는 포털, 소셜네트워크서비스(SNS), 일반 웹사이트 등에서 아이디를 ...
    Date2018.06.18 Category일반정보 ByNOHISANNA Views11
    Read More
  2. Update

    인텔 CPU 다른 취약점 발견 - 인텔의 모든 x86 마이크로 아키텍처 제품군

    인텔 CPU에 Lazy FP state restore 기능을 악용하는 취약점이 발견됐습니다. 이 기능은 원래 실행 중인 애플리케이션의 FPU 상태를 일시적으로 저장하거나 복원하...
    Date2018.06.16 Category일반정보 By파란하늘 Views486
    Read More
  3. Windows RS5 Inside Preview 17692 공개되었습니다.

    한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...
    Date2018.06.15 Category윈도정보 ByMania Views144
    Read More
  4. No Image

    6월 13일 Windows 10 누적 업데이트입니다.

    1. Cumulative Update for Windows 10 Version 1803 (KB4284835) : 17134.112 1803 for x64-based Systems (KB4284835) http://download.windowsupdate.com/c/msd...
    Date2018.06.13 Category윈도정보 ByMania Views657
    Read More
  5. 인텔, '수첩형 PC' 공개…태블릿과 e잉크를 한 번에

    인텔이 최신 태블릿PC와 아날로그 필기 감성을 한 번에 잡은 PC를 공개했다.  IT 전문매체 더버지는 9일(이하 현지시각) 인텔이 5일부터 9일까지 대만에서 열린 ...
    Date2018.06.12 Category유용정보 By파란하늘 Views517
    Read More
  6. [ 삼성전자, '기어S4' 운영체제 타이젠OS 유지할 듯 ]

     삼성전자가 스마트워치 '기어' 시리즈의 운영체제(OS)로 기존 타이젠 OS를 유지할 것으로 보인다고 해외 IT매체 GSM아레나가 IT트위터리안 에반 블래스(@evleak...
    Date2018.06.11 CategoryIT정보 By숲속의빈터 Views418
    Read More
  7. No Image

    6월 8일 Adobe Flash Player Update (KB4287903)

    Security Update for Adobe Flash Player for Windows 10 Version 1803 (KB4287903) [x64]  http://download.windowsupdate.com/d/msdownload/update/software/se...
    Date2018.06.08 Category윈도정보 ByMania Views300
    Read More
  8. 국내 사용자 주변을 맴도는 랜섬웨어 셋

    국내 사용자 주변을 맴도는 랜섬웨어 셋 평창동계올림픽으로 시작됐던 2018년은 이제 러시아 월드컵이 개최되는 6월, 어느새 일년의 절반 지점에 이르렀다. 보안...
    Date2018.06.08 Category윈도정보 By구피 Views579
    Read More
  9. Windows RS5 Inside Preview 17686 공개되었습니다.

    한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...
    Date2018.06.07 Category윈도정보 ByMania Views177
    Read More
  10. No Image

    nvidia DisplayPort 1.3 / 1.4 펌웨어 업데이트

    최신 디스플레이 포트 1.3 / 1.4 기능을 사용하려면, 그래픽 카드는 펌웨어 업데이트가 필요할 수 있습니다. 업데이트하지 않고, 디스플레이 포트 1.3 / 1.4 모니...
    Date2018.06.07 Category유용정보 By귀여운어흥이 Views344
    Read More
  11. Windows RS5 Inside Preview 17682 공개되었습니다.

    한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...
    Date2018.06.01 Category윈도정보 ByMania Views400
    Read More
  12. Windows RS5 Inside Preview 17677 공개되었습니다.

    한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...
    Date2018.05.25 Category윈도정보 ByMania Views615
    Read More
  13. [ 갤럭시S7, 갤S9 기능 맛본다…24일 오레오 업데이트 출시 ]

    삼성전자의 2016년 주력 스마트폰 갤럭시S7과 갤럭시S7 엣지에 마침내 안드로이드 8.0 오레오(Oreo) 업데이트가 배포됐다. 관련 업계에 따르면 삼성전자는 24일...
    Date2018.05.25 CategoryIT정보 By숲속의빈터 Views838
    Read More
  14. [ 삼성전자, '웨어OS' 품은 스마트워치 ]

     삼성전자와 구글이 웨어러블 기기 시장에서 다시 밀월 관계를 회복할 것으로 보인다. 23일(현지시간) 폰아레나 등 외신은 IT트위터리안 에반 블래스(@evleaks) ...
    Date2018.05.24 CategoryIT정보 By숲속의빈터 Views447
    Read More
  15. QLC SSD 시장 열린다, 마이크론과 인텔 QLC NAND 양산 발표

    TLC NAND가 일반화 된 지금, 다음 단계를 준비하던 NAND 제조사들이 드디어 QLC NAND 시장에 손을 대기 시작했다. NAND 플래시 시장에 주력해 온 마이크론이 인...
    Date2018.05.24 CategoryIT정보 ByShalom Views638
    Read More
  16. No Image

    Windows 10 Version 1803에 대한 누적 업데이트(KB4100403)

    Cumulative Update for Windows 10 Version 1803 (KB4100403) : 17134.81 1803 for x64-based Systems (KB4100403) http://download.windowsupdate.com/d/msdownl...
    Date2018.05.24 Category윈도정보 ByMania Views670
    Read More
  17. No Image

    "은행의 블록체인 사용, 예상보다 빠를 것"

    "은행의 블록체인 사용, 예상보다 빠를 것" 탈중앙화한 분산 원장 기술인 블록체인(Blockchain)을 은행이 조만간 사용하고, 관련 사업에 뛰어들 것이라는 관측이 ...
    Date2018.05.24 Category윈도정보 By구피 Views115
    Read More
  18. No Image

    해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의

    해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의 드레이텍(DrayTek) 라우터에서 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수...
    Date2018.05.24 Category일반정보 By구피 Views117
    Read More
  19. 업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의!

    업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의! 최근 업무 관련 제목으로 위장해 사용자의 웹 메일 계정 정보 탈취를 시도하는 피싱 메일이 유포되고 있다....
    Date2018.05.24 Category유용정보 By구피 Views73
    Read More
  20. No Image

    Windows 10 Version 1709에 대한 누적 업데이트(KB4103714)

    Cumulative Update for Windows 10 Version 1709 (KB4103714) : 16299.461 1709 for x64-based Systems (KB4103714) http://download.windowsupdate.com/d/msdown...
    Date2018.05.22 Category윈도정보 ByMania Views352
    Read More
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 88 Next
/ 88
위로