랜섬웨어에 대한 불안감, 갑자기 이상한 파일이?
랜섬웨어에 대한 백신의 방어책
2016년 최고의 보안 트렌드를 묻자면 단언컨데 바로 “랜섬웨어” 되시겠다.
PC에 있는 문서파일들을 고도의 암호화 방식으로 파일을 암호화 한후, 복호화를 위해서는 돈을 요구하는 악질적인 악성코드이다.
그런데, 최근 지식인에서 아래와 유사한 형태의 폴더 및 파일에 대한 문의가 가끔씩 올라오고 있다.
[pe2-image src=”https://lh3.googleusercontent.com/-DCB3hIJncDw/V2jyBwEsYOI/AAAAAAAAD8s/oCLlcz5Qd8YzoN6rDwBq5YqUeaGoYIvzACHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B2.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550190776017122″ caption=”C드라이브 랜섬웨어 미끼” type=”image” alt=”이미지 2.png” ]
[pe2-image src=”https://lh3.googleusercontent.com/-IywKRBt4LBM/V2jyB3oHJKI/AAAAAAAAD9g/irzh_FxLmA4kxESFCYLa3JEQ4v18qYbJgCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B1.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550192803620002″ caption=”D드라이브 랜섬웨어 미끼” type=”image” alt=”이미지 1.png” ]
[pe2-image src=”https://lh3.googleusercontent.com/-HHQMXWubRi0/V2jyBz4V0kI/AAAAAAAAD8s/nx6YMD1N1bwP9EhOqrtDtUwxooDyOPHfgCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B3.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550191797948994″ caption=”문서텝 랜섬웨어 미끼” type=”image” alt=”이미지 3.png” ]
위 이미지들을 보면 촬영된 PC에서 보면 !q(D.DV7 같은 이상한 형태로 되어있는 폴더가 숨김폴더로 되어있다.
P.S : PC마다 다른 형태로 폴더의 이름 및 파일의 이름이 다르다.
도대체 정체를 알 수 없는데…
최근 랜섬웨어 관련해서의 문제가 자주 일어나는지라, 지식인을 하면서 가끔식 저런형태의 질문들이 자주 올라온다.
저 파일의 정체가 무엇이냐고 다들 물어본다.
[pe2-image src=”https://lh3.googleusercontent.com/-Llf2024tW60/V2jyCmVp-FI/AAAAAAAAD8s/ZQl-MAnH3Wwu3846iMVc5xOg-QfEz2mLQCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B4.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550205342677074″ caption=”폴더 내부” type=”image” alt=”이미지 4.png” ]
폴더 내부를 들어가보니
각각 !4samWE7.doc, !4samWE7.jpg, !4samWE7.ppt 파일이 있었다.
최근 들어온 정보에 따르면 doc, jpg, ppt 의 3파일이 아니라, jpg 하나만 생성되도록 바뀌었다.
[pe2-image src=”https://lh3.googleusercontent.com/-4Gd1SCz-fFo/V4riIWGaF2I/AAAAAAAAEz4/yZtfBmDe6X8Y9xR6SfQku5hkL1eU-IvmgCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B12.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6308102861085087586″ caption=”V3 변경된 랜섬웨어 미끼 – 1″ type=”image” alt=”이미지 12.png” ]
위와 같이 파일은 딱 하나만 있으며 이 파일을 메모장으로 열어보면
[pe2-image src=”https://lh3.googleusercontent.com/-9aG6fEWjg6A/V4riIc2NAbI/AAAAAAAAEz8/5G0teyoFOjsCO-NnUJ2a0lPo15m7DnesQCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B13.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6308102862896169394″ caption=”V3 변경된 랜섬웨어 미끼 – 2″ type=”image” alt=”이미지 13.png” ]
랜섬웨어 파일이라는 안내 메시지가 표시된다.
제거하고, 또 제거해도 또 생기는 이 폴더와 파일의 정체는…
바로 백신의 명가, V3 의 랜섬웨어 미끼 파일이다.
V3는 Lite 및 IS 9.0 을 포함한 일부 백신에 랜섬웨어 행위 기반 진단을 위한 미끼 파일이 숨어있다.
[pe2-image src=”https://lh3.googleusercontent.com/-GmSSI4iVqds/V2jyCggXrkI/AAAAAAAAD8s/myTSisFVAa8IHInTqEsGxRyClva3MRpWgCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B5.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550203777003074″ caption=”V3 Lite 행위 기반 진단 사용” type=”image” alt=”이미지 5.png” ] [pe2-image src=”https://lh3.googleusercontent.com/-DWVxFrt34PI/V2jzKUmJmxI/AAAAAAAAD9Y/FjpsYCZ8Cw8zQHgB9x2cALOflfRiWkKyACHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B5-1.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298551437530602258″ caption=”V3 IS 9.0 행위 기반 진단 사용” type=”image” alt=”이미지 5-1.png” ]
위 사진과 같이 “행위 기반 진단 사용” 이 체크가 되어있으면 삭제해도 재부팅하면 또 생기고 또 생긴다.
이스트소프트에서 제공하는 ALYac 도 V3와 유사한 방식을 취해 랜섬웨어를 행위 기반 진단으로 차단한다.
[pe2-image src=”https://lh3.googleusercontent.com/-ES_aOOaXdyY/V2jyCw6xKTI/AAAAAAAAD8s/3qn5TD2_rnIQU3otuoVdlvfDENaIa4I2ACHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B7.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6298550208182692146″ caption=”안랩 랜섬웨어 설명” type=”image” alt=”이미지 7.png” ]
사실 백신 소프트웨어의 랜섬웨어 차단방식은…
랜섬웨어는 일반적으로 사전에 차단하는것이 아니라 대부분의 백신은 미끼파일을 통해 미끼파일이 변조가 되면 차단하는 방식을 채택하고 있다.
자세히 보러 가기 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
안티 랜섬웨어 제품으로 유명한 “Appcheck” 도 유사한 방식으로 랜섬웨어의 본질적 행위인, 파일 손상이 발생하는 경우에 차단을 한다.
행위 진단으로 차단하는 것이기에 오진이 있을 수 있지만 랜섬웨어의 본질적인 공격 그 자체는 변함이 없으므로 이 방법이 실질적으로 가장 중요한 요소가 아닌가 싶다.
[pe2-image src=”https://lh3.googleusercontent.com/-fIa804q6pjY/V3TOiwzEdLI/AAAAAAAAEsY/Ulx5GtVGm0UkcaogVRXrpDwk-qxcQVxegCHM/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B1.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6301888875208144050″ caption=”V3 랜섬웨어 미끼 파일을 notepad 로 열었을 때” type=”image” alt=”이미지 1.png” ]
미끼 파일을 notepad 로 열어보면 미끼 파일이라는 내용 이외엔 텅텅 비어있으니 정상적으로 열리지 않는 것 이다.
대부분의 사용자는 랜섬웨어가 악질적인지 모른다
최근 PC를 위협하는 랜섬웨어. 많은 사람들은 걸렸다 해서 이것이 무엇이냐고 묻고, 또 걸렸다는걸 인지했지만 파일이 단순하게 안열리는것 때문에 문제가 있나 보다 하고 지식인에 올렸다가 심각하다는 사실을 깨닫고 당황하는것이 많았다.
이유는 척보면 척, 랜섬웨어는 RSA-2048 이나 RSA-4096 의 고도의 암호화 방식으로 파일을 암호화 시키기 때문이다.
단순히 확장자만 변경시킨다면 당연히 확장자만 돌려놓으면 되지만, 확장자를 돌려놓는다해서 해결되었다면 랜섬웨어가 위험한 녀석은 아니였을 것이다.
바로 파일 내부를 뒤집어 놓아 전혀 알 수 없는 파일들로 만들어놓기 때문이다.
사람들이 갑자기 생긴 파일에 대해 불안감을 느끼는걸까
이 게시글을 올린 이유중 가장 큰 이유는 아무래도 이상한 폴더와 파일들이 생겨서, 이용자들이 당황하는 것 때문인지도 모른다.
사실 자신이 생성한 것이 아니라면 불안한것은 당연지사, V3가 이 사항에 대해서 안내 사항이 있으면 좋겠는데 홈페이지 이외엔 그 어느곳에도 이 파일에 대한 안내사항이 없었다.
어느날 갑자기 파일이 갑자기 떡하니 생기는것에 대해서도 대부분의 사람들은 ‘바이러스 아닌가요?’, ‘악성코드 아닌가요?’ 라고 지식인에 하루에도 몇번씩 올라와준다.
이 점을 보았을 때 충분히 사용자들도 이것에 대해 궁금한것도 있겠지만, 불안한 면도 있었을 것 이다. 정확한 답변을 듣기전 까지는 말이다.
악질 악성코드 랜섬웨어, 해결법은?
사실, 랜섬웨어에 대한 100% 해결법은 내가 보았을 땐 존재하지 않는다. 랜섬웨어 개발자 들의 수익이 매우 엄청나게 높다는걸 감안하면 랜섬웨어 개발자 입장에서는 엄청나게 짭짤하게 돈이 벌릴 수 밖에 없다.
생각해보시라, 걸려서 중요한 파일이면 최소 50~200 으로 다양하고 조금 협박 섞어주면 단숨에 4~500만원이라고 하니 눈물 머금고 비트코인 결제를 한다. 당연히 한두사람만 감염이 되는게 아니라 동시다발적으로 감염이 되니 아주 짭짤할 수 밖에.
사실 해결법도 아니고, 단순히 예방이 중요하다.
한국 사이트 특성상 망할 Internet Explorer 랑, 망할 Active X 때문에 엄청나게 붙잡혀 있다.
또한, 대부분의 사용자들은 고클린같은 프로그램으로 모든걸 방어할 수 있다고 철벽같이 믿는것이 특징이다.
하지만, 이는 전혀 아니다.
사실 랜섬웨어의 주된 감염 경로는 취약한 Internet Explorer 와 취약한 Adobe Flash Player 로 인해 발생한다.
생각보다 사용자들은 Windows Update 에 대해 관심이 없고, 또한 운영체제 업그레이드에도 더 관심이 없다. Windows XP 를 아직도 쓰는사람이 있다는걸 감안하면 당연한 소리 아닌가?
솔직히 관심이 없다기 보다는 그거 다운로드 하고 업데이트 하는 그 시간도 아까워서 안하는 경우가 대다수 일 것이다.
사실 가장 미련한 행동이긴 하다.
이런 행동들을 줄여야 되는데 안타까울 따름이다.
랜섬웨어 예방법
사실 간단하다.
- Windows Update 항상 최신 상태로 유지
- 백신 소프트웨어 항상 활성화
- 오래된 운영체제(특히 Windows XP)는 사용을 하지 않기
- Adobe Flash Player 의 사용을 자제
- Internet Explorer 의 사용을 자제
- 랜섬웨어 전용 방어 프로그램등을 설치(Appcheck 등을 설치하면 좋다.)
랜섬웨어에 대해 심각성을 깨닫고, Active X 나 IE만 사랑하는 대한민국이 되지 않았으면 하는 바램이다.