태그: 랜섬웨어

70여개국에 동시에 감염된 사상 최악의 랜섬웨어, WanaCrypt0r 2.0 설명 / Windows Update 설정 / SMB 포트 차단법

Ransomware
Ransomware

 

70여개국을 강타한 사상 최악의 랜섬웨어, WanaCrypt0r 2.0

취약점 패치를 진행하지 않은 PC 및 구형 운영체제 사용으로 병원, 기업등이 피해를 봐…

 

Windows XP, Windows 7, Windows 10 할 것 없이 Windows Update 를 하지 않은 PC의 대부분이 SMB 프로토콜 취약점을 통해 랜섬웨어가 확산되었다.

 

SMB 프로토콜이란? : Windows 운영체제에서 사용하는 폴더 및 파일을 공유하기 위해 사용되는 MSG 형태

 

WanaCryptor2.0 Ransomware.png

위 랜섬웨어는 05월 12일 유포된 WanaCrypt0r 2.0 이 SMB 취약점을 통해 70여개국에서 피해사례가 속출했다.

이 랜섬웨어는 기존 랜섬웨어 방식(특수하게 조작된 홈페이지 방문, 출처를 알 수 없는 이메일 첨부파일 실행)이 아닌, 단순히 인터넷에 연결만 되어있어도 감염이 되었던 사례이기에 사상 최악의 랜섬웨어로 불리고 있다.

이 랜섬웨어의 보안패치는 KB4012212(Windows 7, 8.1, 10 용 17년 03월 14일 패치), KB4012598(Windows XP, 8, SMB 서버 용 17년 05월 13일 긴급 패치) 으로 패치가 되었으며, MS17-010, CVE-2017-0143 으로 취약점 관련 내용이 배포되었다.

WanaCrypt0r 2.0

WanaCrypt0r 2.0은 현재는 배포가 중단(킬 스위치 작동)이 되었으나, 언제든지 해당 랜섬웨어의 변종(킬 스위치가 없는 변종 랜섬웨어)이 등장할 가능성이 매우 높은 랜섬웨어이다.

위 유튜브 영상은 해당 랜섬웨어가 작동하는 형태를 가상 PC에서 촬영한 것 이다.

특이점은 랜섬노트 안내 파일을 exe 파일 형태로 따로 제출하여 표시하였다는 점이다.

그런데, 이 랜섬웨어에 대해 궁금한점이 생길 수 있다.

생각보다 한국은 큰 피해를 입지 않았는데 왜그랬을까.

답은 아래에 있다.

생각보다 대한민국은 WanaCrypt0r 2.0 랜섬웨어에 크게 피해를 입지 않았다?

사실이다.

대한민국은 ISP(인터넷 제공업체. 대표적으로 SK Broadband, LGU+, Olleh KT 등이 있다.)업체에서 SMB 프로토콜을 사용하는 포트인 137, 138, 139, 445 포트에 대해 대부분이 차단이 되어있기 때문이다.

한국 사용자들이 대부분 감염되었던 랜섬웨어는 Ceber, Sage, Locky, CryptXXX 계열등, Windows Update 를 하지 않은 취약한 상태에서 악의적인 스크립트가 포함된 사이트에 방문을 하거나, 출처를 알 수 없는 이메일의 첨부파일을 열었을 때 감염되었던 경우가 상당히 많았다.

 

하지만, 이번 WanaCrypt0r 2.0 은 Windows 의 취약점을 통해 전파된것은 기존 랜섬웨어와 같지만, “인터넷 익스플로러” 등, 인터넷 연결 관련해서의 프로그램을 통해 특정 사이트 등을 방문해야 한다는 전제가 없이 단순히 인터넷에 연결만 되어있어도 감염이 되었다는 점 이기 때문에 사태가 심각해진 것이다.

 

물론, 언론등의 과대포장으로 인하여 WanaCrypt0r 2.0 관련 랜섬웨어 내용이 부풀어 오른것도 사실이긴 하다.

 

하지만, 분명 이 내용에 대해 의구심을 품을 수 있다.

 

CGV 를 포함하여 병원, 기업등이 랜섬웨어에 피해를 입었는데 말이 안되는 내용일 수 있다.

 

이는 가정용과 기업용 랜의 차이에 있다.

 

가정용은 서버를 꾸릴 이유가 거의 없기 때문에 서버 통신에 필요한 포트는 ISP단에서 대부분 차단을 시킨다.

 

하지만 기업용은 서버를 꾸릴 경우가 존재하기 때문에 모든 포트를 열어놓는 경우가 많아 피해를 입을 수 있었던 것이다.

 

 

그렇다면 일반인이 사용하는 PC는 안전할까?

답은 아니다.

  Windows 취약점에 의해 공격을 당했기 때문에 언제든지 보안위협에 노출이 될 수 있음을 의미하기 때문이다.

 

기업등이 돈을 많이 가지고 있기 때문에 기업쪽으로 랜섬웨어 공격이 기울 수 있냐는 얘기도 있지만 틀린 말 일 수 있다.

 

개인도 언제든지 랜섬웨어에 피해를 입을 수 있는데, 기업보다 더 뚫기 쉽다는 점을 고려하면 당연히 개인도 타깃이 되기 마련이다.

 

우리는 Windows Update 를 포함한 여러 보안 상식을 통해 예방을 하여 다음번에 유사한 공격이 있더라도 랜섬웨어를 피할 가능성이 높아진다.

 

완벽한 보안이란건 없지만, 대부분 간단하게 지킬 수 있으며 이 점을 역으로 노려 공격을 하기 때문에 아래 내용들을 참고해보도록 하자.

랜섬웨어 예방법

랜섬웨어를 예방하는 가장 최고의 방법은 무엇보다 Windows Update 를 생활화 하는 것 이다.

 

아래와 같이 Windows Update 를 업데이트 하는 방법을 알아보자.

 


 

Windows XP Windows Update

 

Windows XP는 2014년 04월 08일에 지원이 중단된 운영체제 이다. 하지만, 이번 랜섬웨어의 피해가 매우 심각하여 MS 측에서도 지원 중단한 XP 를 포함한 Server 2003 에도 해당 랜섬웨어 감염의 주요 원인지인 SMB 취약점 관련 패치를 배포하였다.

 

Windows XP 는 일반적인 업데이트 방법 (Windows Update 프로그램을 실행하여 인터넷 상에서 업데이트)이 통하지 않기 때문에 아래와 같은 방법으로 업데이트를 시도해야 한다.

 

WinXP-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

WinXP-2.png

2. 보안 센터를 누른다.

WinXP-3.png

3. 자동 업데이트 항목이 “사용 안 함”으로 되어있는경우 눌러서 “자동 업데이트 사용”을 누른다.

WinXP-4.png

4. 일정 시간이 지나면 우측 하단 작업 표시줄에 노란색 느낌표 방패 아이콘이 뜨면서 “사용자 컴퓨터의 업데이트가 있습니다.” 메시지가 뜬다. 이것을 누른다.

WinXP-5.png

5. 빠른 설치를 누르고 그대로 “설치” 버튼을 눌러 진행한다.

WinXP-6.png

6. 업데이트가 진행 될 것이다.


Windows 7 Windows Update

 

Win7-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

Win7-2.png

2. 시스템 및 보안을 누른다.

Win7-3.png

3. Windows Update 를 누른다.

Win7-4.png

4. “업데이트 확인”을 누른다. 만약 업데이트 확인 항목이 안보이는 경우 5번으로 넘어간다.

Win7-5.png

5. 업데이트 확인중을 기다린다.

Win7-6.png

 6. “업데이트 설치”를 누른다.

Win7-7.png

7. 업데이트가 진행될 것 이다.


Windows 10 Windows Update

 

Win10-1.png

1. 좌측 하단의 시작 -> 설정을 누른다.

Win10-2.png

2. “업데이트 및 복구”를 누른다.

Win10-3.png

3. “업데이트 확인”을 눌러 최신 보안 패치가 있는지 확인 한다. (자동으로 설치된다.)


보안업데이트를 할 수 없는 PC 환경일 때

이럴 때는 임시로 포트를 차단하거나, 변경하거나, PowerShell 을 사용하거나, SMB 기능을 비활성화 하는 방법을 통해 변경해야 한다.   아래와 같이 따라하자.


 

Windows XP 포트 변경법 / SMB 포트 차단법

winxp-1.png

1. Win + R 키를 눌러서 실행창을 열고 regedit 을 입력한다.

winxp-2.png

2. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 에 들어간 후 PortNumber 를 더블클릭 후 10진수 -> 3389 대신 다른 숫자로 변경 후 확인을 한다.

winxp-3.png

 3. 재부팅 후 내 네트워크 환경을 마우스 오른쪽 클릭후 속성을 누른다.

winxp-4.png

4. 로컬 영역 연결(PC마다 다를 수 있음)을 더블클릭하여 연다.

winxp-5.png

 5. 속성을 누른다.

winxp-7.png

6. Microsoft 네트워크용 파일 및 프린터 공유를 체크 해제 한다. (TCP 139 차단)

winxp-7.png

7. 인터넷 프로토콜(TCP/IP) 를 누르고 속성을 누른다. (절대 체크 해제가 아니다!)

winxp-8.png

8. 고급을 누른다.

winxp-9.png

9. WINS 텝에서 TCP/IP 에서 NetBIOS 사용 안 함을 누른다.

winxp-10.png

10. 라디오 버튼이 사용 안 함으로 이동되었으면 확인 후 재부팅 한다. (TCP 445 차단)


 

Windows 7 이상 SMB 포트 차단법

win7-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

win7-2.png

2. 시스템 및 보안을 누른다.

win7-3.png

3. Windows 방화벽을 누른다.

win7-4.png

4. 고급 설정을 누른다.

win7-5.png

5. 인바운드 규칙을 누른다.

win7-6.png

6. 새 규칙을 누른다.

win7-7.png

7. 포트 -> 다음을 누른다.

win7-8.png

8. TCP -> 특정 연결 포트 -> “137-139, 445” 라고 입력 후 다음을 누른다.

win7-9.png

9. 연결 차단 -> 다음을 누른다.

win7-10.png

10. 3개가 기본적으로 체크되어있으므로 다음을 누른다.

win7-11.png

11. 설명을 작성하고 마침을 누른다.

win7-12.png

12. 정상적으로 블락걸려있으면 된다.


 

서버 운영체제(Windows Server 2008 등)사용시 PowerShell 로 SMB 프로토콜 비활성화

pwshell-1.png

1. 검색창 -> Windows PowerShell 입력 후 관리자 권한으로 실행한다.

pwshell-2.png

pwshell-3.png

2. 아래와 같이 입력하고 엔터를 친다. (각각 입력)

set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB1 -Type DWORD -Value 0 -Force
set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB2 -Type DWORD -Value 0 -Force

Windows 8 이상 SMB 기능 자체 비활성화

disa-1.png

1. 제어판 -> 프로그램 제거를 누른다. (P.S : Windows 10 운영체제 에서 제어판이 안뜨는 경우 주소창에 “제어판” 입력)

disa-2.png

2. Windows 기능 켜기/끄기 를 누른다.

disa-3.png

3. SMB 1.0/CIFS 파일 공유 지원을 체크 해제 하고 PC를 재부팅한다.


예외상황 발생시?

일부 운영체제는 위와 같은 방법을 시도하려 해도 안되는 경우가 있다.   현재 나에게 문의온 예외상황을 알아보자.

Windows XP 업데이트 하려는데 “보안 센터 서비스가 시작되지 않았거나 중단되어서 보안 센터를 현재 사용할 수 없습니다.” 가 표시될 때

serv-1.png

위 이미지와 같이 보안 센터가 비활성화 상태다. 아래와 같이 따라하자.

serv-2.png

1. Win + R 키 눌러 실행 창 띄운 후 service.msc 를 입력후 확인을 누른다.

serv-3.png

2. Security Center 를 찾아 더블클릭 한다.

serv-4.png

3. 시작 유형을 자동으로 설정하고, 시작 을 누른다.

serv-5.png

4. 정상적으로 작동하는지 확인한다.


 

SMB 프로토콜 취약점 업데이트만 하고 싶을 때

 

아래에 적힌 내용은 5월 13일 일자로 긴급 패치 하는 용도이다. 즉, 보안업데이트가 지원 중단된 운영체제를 대상으로 긴급 업데이트를 한 내용이므로 취약한 운영체제를 사용하고 있는 사용자는 아래의 보안업데이트를 다운로드 받는것이 좋다.

 

Windows XP SP2 / 64Bit 용 (Security Update for Windows XP SP2 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55250

 

Windows XP SP3 용 (Security Update for Windows XP SP3 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55245

 

Windows Server 2003 용 (Security Update for Windows Server 2003 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55248

 

 

Windows Server 2003 64bit 용 (Security Update for Windows Server 2003 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55244

 

 

Windows Embedded (SP3) 용 (Security Update for Windows XP SP3 for XPe (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55247

 

 

Windows 8 용 (Security Update for Windows 8 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55246

 

 

Windows 8 64bit 용 (Security Update for Windows 8 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55249​

 

 


 

랜섬웨어 예방법

 

사실 예방법은 정말 간단한다. 아래와 같은것들을 지키면 대부분의 랜섬웨어를 막을 수 있다.

 

  1. Windows Update 를 항상 활성화 및 주기적인 보안 업데이트를 진행한다.
  2. 출처를 알 수 없는 사이트나 출처를 알 수 없는 이메일의 첨부파일을 함부로 방문 / 열지 않는다.
  3. 구형 운영체제를 사용하는경우 최신 운영체제로 업그레이드 한다.
  4. Adobe Flash Player, Java 등 자주 취약점이 노출되는 프로그램을 항상 보안 업데이트를 진행한다.
  5. 백신 소프트웨어를 최소 1개 설치하고, 추가적으로 랜섬웨어 전용 보조 백신도 설치한다.
  6. 중요 파일은 백업을 생활화 한다.

 

 

끝으로

이번 랜섬웨어는 대한민국을 포함하여 세계 70여개국에 거의 동시다발 적으로 피해를 입혔던 만큼 대한민국의 보안의식이 떨어졌던 것을 올리게 해주는 계기가 되어 보안을 생활화 하였으면 좋겠다고 생각한다.

 

항상 예방만이 중요하다. 소 잃고 외양간 고치는 격의 보안 의식은 이번 사태처럼 최악의 피해를 낳을 수 있다.

 

참고

보호나라 : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

Microsoft TechNet 보안 공지 : https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

원클릭 WanaCrypt0r 취약점 확인 (알약 공식 블로그) : http://blog.alyac.co.kr/1096

원클릭 WanaCrypt0r 취약점 확인 (V3 공식 사이트) : http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124728

구형 운영체제용 Microsoft Windows Update 카탈로그 : http://www.catalog.update.microsoft.com/Home.aspx

[랜섬웨어] 다잡아, 랜섬웨어 차단에 합류!

다잡아, 랜섬웨어 미끼파일 생성에 함께 합류!

V3와 ALYac과 다르게 랜섬웨어 생성 파일이라고 친절하게 작성

 

 

랜섬웨어는 우리 일상 PC생활을 위협하고 있다. 어느날 갑자기 바탕화면이 바뀌면서 내 소중한 문서파일들이 사라진다면 그 충격은 헤아릴 수 없을 것이다.

 

따라서 백신은 가장 확실하게 랜섬웨어를 예방할 수 있는 미끼파일 만들기 대열에 합류를 하고 있다.

 

V3와 ALYac 도 이에 대해서 미리 대책을 했지만, 최근 다잡아도 이 대열에 합류를 하였다.

 

어떻게 생성되는지 확인해보자.

 

다잡아의 랜섬웨어 차단기능 추가

이미지 1.png

메인화면부터 다잡아에서 랜섬웨어 미끼파일 관련해서 공지가 업로드 되었다. 그러나 메인 홈페이지에만 작성된것 같아 이용자들이 갑자기 생성된 파일에 대해 불안해 하는듯 보였다. (네이버 지식인에서 확인)

어떤식으로 생성이 되었는지 확인해보자.

1.png

파일명은 최초 업로더가 파일명을 확인하지 않아 추측을 하면 문서파일 3개, 이미지 파일 1개, 엑셀파일 1개로 추정을 하고 있다.

이 5개의 파일중 하나라도 손상이 된다면 다잡아에서는 아래와 같이 차단을 할 것이다.

2.png

안내 메시지는 PID 번호(파일명)의 이상행동을 감지하고 해당 파일을 중지하였다는것을 알 수 있다.

요즘 랜섬웨어의 가장 본질적인 기능인 파일 손상(문서파일 삭제 및 변조, 즉 암호화)을 사전에 먼저 검사하는 것이 특수문자가 들어간 폴더를 먼저 검사하고, 또한 최상위 디렉토리(C:\ 나 D:\ 등)를 먼저 검사 후 제거한다는 특성을 고려하여 대부분의 랜섬웨어 미끼를 생성하는 백신들은 유사하게 생성을 하는것으로 보인다.

랜섬웨어가 가장 많이 침투한 경우는 불법적인 사이트 접속이다.

애*24 나 베이*리안즈 같은 저작권을 위반한 불법 사이트나, hit**i.la 같은 불법 성인 사이트 등에서도 감염 사례가 자주 발생하였다.

이경우 대부분은 랜섬웨어가 광고 플랫폼을 통해 들어오는 것으로 확인을 하고 있다.

대한민국 사람들이 공짜를 좋아하는것은 알지만 소탐대실(小貪大失) 이라고, 조금 돈 아껴보겠다고 공짜 찾다가 눈물 머금고 PC의 문서를 싹 날려버리는 포맷을 해야할지도 모른다. 공식적인 경로로 다운로드나 스트리밍을 시청하는것을 가장 권장하는 바이다.

V3, ALYac, 다잡아등 랜섬웨어 미끼파일을 생성한다 해서 모든 랜섬웨어를 다 차단하는 것은 아니다. 그렇기에 항상 예방이 중요한 것이다.

랜섬웨어, 치명적인 PC의 보안위협으로 다가가기 전에 미리 방어하는 습관을 가져보는것이 어떨까.

 

더 보기

V3 랜섬웨어 미끼파일 : (링크)

ALYac 랜섬웨어 미끼파일 : (링크)

[랜섬웨어] 랜섬웨어 미끼 파일, 알약도 가지고 있다!

랜섬웨어, V3 너만 막는줄 아나? 내가 먼저 했단 말이다!

Decoy(미끼)파일로 랜섬웨어 꼼짝마!

 

 

랜섬웨어, 말로만 들어도 파일을 싹쓸이 암호화 해 돈 내놓으라고 하는 무서운 바이러스.

 

사실, 랜섬웨어에 대한 방어책을 구사하기 위해 많은 백신들의 변화가 생겨났다.

 

 

가장 대표적으로 백신 소프트웨어가 미끼파일을 생성하여 이 미끼파일이 훼손되었을 경우 훼손한 프로그램을 찾아 차단하는 방식을 많이 채택하고 있다.

 

사실 가장 확실하게 확인할 수 있는 방법이긴 하다. 또한, 이것이 완벽한 방어법이라 할 수는 없으나 최소한 차단은 가능하기 때문이다.

 

 

 

하지만 V3보다 먼저 미끼파일을 선보였던 것은 바로 이스트소프트 社의 제품중 하나인 ALYac(알약) 되시겠다.

 

 

 

알약, 랜섬웨어에 가장 빠르게 대응하였다는 사실

 

알약은 이미 2015년 12월 23일 부터 알약에 자체적으로 랜섬웨어 차단 시스템(미끼 파일 형태)을 추가했다. (링크)

 

ransom1.png

랜섬웨어가 차단되면 위 사진과 같이 랜섬웨어 차단 메시지가 표시되며 차단된 파일에 대해 ALYac 분석센터로 전송하는 기능이 있다.

사실상 국내 사용자들이 가장 많이 찾는 백신 소프트웨어 2 TOP 제품들인 V3, ALYac 에 대해서 랜섬웨어 차단 시스템을 갖추었다는 것에 대해서는 매우 잘된 일이다.

유행하고 있는 랜섬웨어를 막기 위한 백신 업체들이 고군분투 하는것을 보면 역시 대단하다고 생각이 된다.

Bitdefender 엔진은 뭐하고 있는거지?

 

사실 비트디펜더 엔진은 ALYac의 엔진이 아니다. ALYac은 자체개발 엔진중 하나인 테라(Tera) 엔진으로 알고있다.

 

타사의 엔진을 함께 쓰는 것이다. 사실 Bitdefender 의 감지가 Tera 보다 더 높다.

 

즉, Bitdefender 는 ALYac의 보조 엔진일 뿐, 랜섬웨어 미끼와는 관련이 없다.

 

물론 랜섬웨어 악성코드가 Bitdefender 에 있다면 차단될 수 있다.

 

 

끝으로…

랜섬웨어와 백신간의 창과 방패의 대결은 지속적으로 될 것이다. 개인사용자를 포함해서 기업과 병원등 닥치는대로 전파를 하는 랜섬웨어에 대한 보안체계를 제대로 마련하여 안전한 PC사용이 되었으면 하는 바램이 있다.

더보기

V3 랜섬웨어 차단 시스템 도입

 

[랜섬웨어] C드라이브 및 D드라이브에 있는 이상한 폴더와 파일의 정체는?

랜섬웨어에 대한 불안감, 갑자기 이상한 파일이?

랜섬웨어에 대한 백신의 방어책

2016년 최고의 보안 트렌드를 묻자면 단언컨데 바로 “랜섬웨어” 되시겠다.

 

PC에 있는 문서파일들을 고도의 암호화 방식으로 파일을 암호화 한후, 복호화를 위해서는 돈을 요구하는 악질적인 악성코드이다.

 

그런데, 최근 지식인에서 아래와 유사한 형태의 폴더 및 파일에 대한 문의가 가끔씩 올라오고 있다.

 

 

이미지 2.png

 이미지 1.png

이미지 3.png

 위 이미지들을 보면 촬영된 PC에서 보면 !q(D.DV7 같은 이상한 형태로 되어있는 폴더가 숨김폴더로 되어있다.

P.S : PC마다 다른 형태로 폴더의 이름 및 파일의 이름이 다르다.

도대체 정체를 알 수 없는데…

최근 랜섬웨어 관련해서의 문제가 자주 일어나는지라, 지식인을 하면서 가끔식 저런형태의 질문들이 자주 올라온다.

저 파일의 정체가 무엇이냐고 다들 물어본다.

이미지 4.png

 폴더 내부를 들어가보니

각각 !4samWE7.doc, !4samWE7.jpg, !4samWE7.ppt 파일이 있었다.

최근 들어온 정보에 따르면 doc, jpg, ppt 의 3파일이 아니라, jpg 하나만 생성되도록 바뀌었다.

이미지 12.png

위와 같이 파일은 딱 하나만 있으며 이 파일을 메모장으로 열어보면

이미지 13.png

랜섬웨어 파일이라는 안내 메시지가 표시된다.

제거하고, 또 제거해도 또 생기는 이 폴더와 파일의 정체는…

바로 백신의 명가, V3 의 랜섬웨어 미끼 파일이다.

V3는 Lite 및 IS 9.0 을 포함한 일부 백신에 랜섬웨어 행위 기반 진단을 위한 미끼 파일이 숨어있다.

이미지 5.png 이미지 5-1.png

 위 사진과 같이 “행위 기반 진단 사용” 이 체크가 되어있으면 삭제해도 재부팅하면 또 생기고 또 생긴다.

이스트소프트에서 제공하는 ALYac 도 V3와 유사한 방식을 취해 랜섬웨어를 행위 기반 진단으로 차단한다.

이미지 7.png

사실 백신 소프트웨어의 랜섬웨어 차단방식은…

 랜섬웨어는 일반적으로 사전에 차단하는것이 아니라 대부분의 백신은 미끼파일을 통해 미끼파일이 변조가 되면 차단하는 방식을 채택하고 있다.

자세히 보러 가기 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

안티 랜섬웨어 제품으로 유명한 “Appcheck” 도 유사한 방식으로 랜섬웨어의 본질적 행위인, 파일 손상이 발생하는 경우에 차단을 한다.

행위 진단으로 차단하는 것이기에 오진이 있을 수 있지만 랜섬웨어의 본질적인 공격 그 자체는 변함이 없으므로 이 방법이 실질적으로 가장 중요한 요소가 아닌가 싶다.

이미지 1.png

미끼 파일을 notepad 로 열어보면 미끼 파일이라는 내용 이외엔 텅텅 비어있으니 정상적으로 열리지 않는 것 이다.

대부분의 사용자는 랜섬웨어가 악질적인지 모른다

최근 PC를 위협하는 랜섬웨어. 많은 사람들은 걸렸다 해서 이것이 무엇이냐고 묻고, 또 걸렸다는걸 인지했지만 파일이 단순하게 안열리는것 때문에 문제가 있나 보다 하고 지식인에 올렸다가 심각하다는 사실을 깨닫고 당황하는것이 많았다.

이유는 척보면 척, 랜섬웨어는 RSA-2048 이나 RSA-4096 의 고도의 암호화 방식으로 파일을 암호화 시키기 때문이다.

단순히 확장자만 변경시킨다면 당연히 확장자만 돌려놓으면 되지만, 확장자를 돌려놓는다해서 해결되었다면 랜섬웨어가 위험한 녀석은 아니였을 것이다.

바로 파일 내부를 뒤집어 놓아 전혀 알 수 없는 파일들로 만들어놓기 때문이다.

사람들이 갑자기 생긴 파일에 대해 불안감을 느끼는걸까

이 게시글을 올린 이유중 가장 큰 이유는 아무래도 이상한 폴더와 파일들이 생겨서, 이용자들이 당황하는 것 때문인지도 모른다.

사실 자신이 생성한 것이 아니라면 불안한것은 당연지사, V3가 이 사항에 대해서 안내 사항이 있으면 좋겠는데 홈페이지 이외엔 그 어느곳에도 이 파일에 대한 안내사항이 없었다.

어느날 갑자기 파일이 갑자기 떡하니 생기는것에 대해서도 대부분의 사람들은 ‘바이러스 아닌가요?’, ‘악성코드 아닌가요?’ 라고 지식인에 하루에도 몇번씩 올라와준다.

이 점을 보았을 때 충분히 사용자들도 이것에 대해 궁금한것도 있겠지만, 불안한 면도 있었을 것 이다. 정확한 답변을 듣기전 까지는 말이다.

악질 악성코드 랜섬웨어, 해결법은?

 

사실, 랜섬웨어에 대한 100% 해결법은 내가 보았을 땐 존재하지 않는다. 랜섬웨어 개발자 들의 수익이 매우 엄청나게 높다는걸 감안하면 랜섬웨어 개발자 입장에서는 엄청나게 짭짤하게 돈이 벌릴 수 밖에 없다.

 

생각해보시라, 걸려서 중요한 파일이면 최소 50~200 으로 다양하고 조금 협박 섞어주면 단숨에 4~500만원이라고 하니 눈물 머금고 비트코인 결제를 한다. 당연히 한두사람만 감염이 되는게 아니라 동시다발적으로 감염이 되니 아주 짭짤할 수 밖에.

 

사실 해결법도 아니고, 단순히 예방이 중요하다.

 

한국 사이트 특성상 망할 Internet Explorer 랑, 망할 Active X 때문에 엄청나게 붙잡혀 있다.

 

또한, 대부분의 사용자들은 고클린같은 프로그램으로 모든걸 방어할 수 있다고 철벽같이 믿는것이 특징이다.

 

하지만, 이는 전혀 아니다.

 

 

사실 랜섬웨어의 주된 감염 경로는 취약한 Internet Explorer 와 취약한 Adobe Flash Player 로 인해 발생한다.

 

 

 

생각보다 사용자들은 Windows Update 에 대해 관심이 없고, 또한 운영체제 업그레이드에도 더 관심이 없다. Windows XP 를 아직도 쓰는사람이 있다는걸 감안하면 당연한 소리 아닌가?

 

솔직히 관심이 없다기 보다는 그거 다운로드 하고 업데이트 하는 그 시간도 아까워서 안하는 경우가 대다수 일 것이다.

 

사실 가장 미련한 행동이긴 하다.

 

이런 행동들을 줄여야 되는데 안타까울 따름이다.

 

 

랜섬웨어 예방법

사실 간단하다.

 

  1. Windows Update 항상 최신 상태로 유지
  2. 백신 소프트웨어 항상 활성화
  3. 오래된 운영체제(특히 Windows XP)는 사용을 하지 않기
  4. Adobe Flash Player 의 사용을 자제
  5. Internet Explorer 의 사용을 자제
  6. 랜섬웨어 전용 방어 프로그램등을 설치(Appcheck 등을 설치하면 좋다.)

 

랜섬웨어에 대해 심각성을 깨닫고, Active X 나 IE만 사랑하는 대한민국이 되지 않았으면 하는 바램이다.

 

 

 

더보기

ALYac 랜섬웨어 차단 시스템