site map    |     contact us

  • 뉴스
  • 스타아이티에서 알려드립니다.
  • 
      ESTsoft 랜섬웨어 악성코드 대응방안 관련 11.10
      현재 랜섬웨어 악성코드로 인한 문서 암호화 피해가 큰 이슈가 되고 있습니다.

      또한, 최근 들어서는 새로운 유형의 ‘키메라 랜섬웨어’ 가 발표 되어, 암호화 된 파일에 대해 기한 내에 돈을 지불 하지 않으면 개인자료를 인터넷에 공개하겠다는 형태의 협박을 하는 변종 랜섬웨어 가 발생 하였습니다. (하단 7-D 내용 참조)

      관련 하여, 이스트소프트 알약 백신에서는 매일 발생 되는 신,변종 랜섬웨어 악성코드에 대해 지속적으로 패턴 업데이트를 진행 하고 있으니 항상 백신 최신 업데이트를 유지해 주시기 바랍니다.

      아울러, 백신 S/W는 시그니처 패턴 기반의 사후 방역 솔루션 이다 보니 랜섬웨어 같은 신변종 바이러스에 대해서는 예방이 최우선임을 강조 해 드립니다.


      1. 랜섬웨어가 무엇인가요?

      A. Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 악성코드가 PC에 존재하는 중요한 자료들을 암호화하여 사용하지 못하도록 한 후,암호화된 파일을 복구하려면 피해자로 하여금 돈을 지불하도록 강요하는 악성코드를 의미합니다.
      B. Crypt0L0cker, CryptoWall, TeslaCrypt(AlphaCrypt), Trojan.Ransom.Chimera 등이 대표적이며 많은 변종이 존재하고 지속적으로 증가하고 있습니다.
      2. 랜섬웨어는 어디서 감염될 수 있나요?

      A. 일반적인 악성코드 유입경로 (이메일 첨부파일, 토렌트, 파일공유 등)
      B. PC 내 취약점이 있을 경우, 변조된 웹사이트, 뉴스, 유투브 등 접근 시에도 감염될 수 있습니다.
      3. 알약으로 랜섬웨어 치료가 가능한가요?

      A. 현재 알약에서는 다음과 같은 진단명으로 랜섬웨어의 진단/치료가 가능합니다.
      Trojan.Ransom.cryptolocker
      Trojan.Ransom.CryptoWall
      Trojan.Ransom.TeslaCrypt
      Trojan.Ransom.Filecoder
      Trojan.Ransom.Chimera

      B. 다만, 금전적인 이득을 위해 지속적으로 신종/변종 랜섬웨어가 발생되고 있으며 이런 경우, 샘플이 수집되기 전까지는 진단/치료가 안될 수 있습니다.

      4. 랜섬웨어에 감염되면 어떤 증상이 발생하나요? (랜섬웨어 유형에 따라 상이할 수 있습니다.)

      A. 랜섬웨어가 감염되면 암호화를 수행하는 악성파일을 생성하며 해당 악성파일이 PC 부팅 시 자동 실행되도록 설정합니다.
      B. 다음 PC 부팅 시 악성파일 동작으로 PC가 많이 느린 증상이 나오며 우측 하단에 방화벽이 꺼져있다는 창이 발생합니다.
      C. 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 로컬PC와 공유된 모든 경로의 대상이 되는 파일(문서, 사진 위주)을 암호화 시킵니다.
      D. PC환경에 따라 수 분~수십 분이 소요되며 ccc, encrypted 등 파일 확장자가 변경되거나 확장자 변경 없이 암호화만 되는 경우도 있습니다.
      E. 각 폴더 및 시작프로그램에 금전요구 안내 파일(howto… / help… 등으로 시작하는 메모장, 웹문서 파일)이 생성됩니다.
      F. 암호화를 완료한 후 악성파일은 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 자가삭제를 수행합니다.
      금전요구 안내가 부팅 시 자동으로 보여지지 않고, 암호화된 파일이 공유된 폴더에만 존재하는 경우 해당 PC의 감염이 아니라 폴더 공유 중 인 다른 PC에 감염 되었을 가능성이 높습니다.

      5. 랜섬웨어로 암호화된 파일을 복구할 수 없나요?

      A. 암호화된 파일의 암호를 해제(복호화)
      i. 랜섬웨어가 파일을 암호화하는 방식은 대부분 RSA 2048 이라는 암호화입니다.
      ii. RSA 2048은 현재 국내외 온라인 금융, 공공기관에서도 사용할 만큼 보안성이 높은 암호화입니다.
      iii. 해커가 보유한 복호화 키가 없을 경우 복호화는 사실상 불가능합니다
      숫자와 알파벳을 조합해 64자리의 암호를 걸어놓아, '경우의 수'가 16의 64 제곱 가지, 무려 78자리 숫자에 달하기 때문에 슈퍼컴퓨터로 해독해도 수십 년이 걸린다고 하며, FBI 마저도 '랜섬웨어 해결책은 돈을 주는 것밖에 없다' 고 말했을 정도입니다.

      B. 시스템복원 시점에서 파일 복구(Windows Vista 이상의 OS만 가능)
      i. 윈도우에서 기본제공하는 시스템복원에서 랜섬웨어 감염 전으로 복원지점 생성되어 있을 경우 파일 복구가 가능합니다.
      ii. 별도 첨부한 ShadowExplorer를 이용하여 해당 시점에서 파일 Export 할 수 있습니다. (프리웨어, 사용법 동봉)
      iii. 최근 랜섬웨어는 해당 시스템복원 시점도 삭제하는 동작이 있으며 이런 경우 위 방법으로 복구는 불가능합니다.

      C. 랜섬웨어 유포자에게 비용지불
      i. 해커가 요구하는 방법으로 비용을 지불할 수 있으며 평균적으로 약 50만원 정도를 요구합니다.
      ii. 비용을 지불할 경우 복호화 키를 포함한 복호화 툴을 제공받을 수 있다고 합니다.
      iii. 단, 비용을 지불해도 복호화 툴을 받지 못할 수 있으며 툴을 받아도 정상적인 복구가 안될 수 있습니다.
      iv. 또한 비용지불로 인해 해커는 더욱 많은 랜섬웨어를 제작 유포시킬 수 있으며 그로 인해 또 다시 피해를 입을 수도 있습니다.

      6. 랜섬웨어를 예방하려면 어떻게 해야 하나요?

      1) 운영체제 및 각종 응용프로그램 최신 보안 업데이트 진행
      - MS OS 업데이트를 포함하여 IE, JAVA, Flash, Microsoft Silverlight, XMLDOM, Office, 한글 등 대표적인 어플리케이션은 항상 최신 버전을 유지
      - 특히, Adobe flash player 최신 상태로 유지 (최근 Adobe flash player 취약점 으로 인한 감염 증가)
      2) 신뢰할 수 없는 이메일 첨부파일 다운로드 금지
      - 출처가 불분명한 메일 삭제, 사용자의 호기심을 이끄는 메일 제목일 경우 특 히 발신인이 확인되지 않으면 클릭 금지, 지인의 메일도 한번 더 확인
      3) 토렌트 등 파일 공유 사용 시 주의
      - 토렌트 프로그램 및 다운로드 자료를 통한 랜섬웨어 감염 증가
      4) 개인 블로그 사이트 게시물 파일 을 통한 감염
      - 신뢰 되지 않은 블로그 사이트 게시물 (HTS 프로그램 등) 통해 감염
      3) 윈도우 시스템복원. 모든 드라이브에 on 설정 및 주기적인 복원시점 생성
      - 제어판 -> 시스템 -> 고급 시스템 설정 -> 시스템 보호 탭에서 설정
      4) 중요 문서 및 파일 백업 필수
      - 중요한 파일에 대해서 해당 시스템 이외의 별도 저장공간에 백업하고, 해당 시스템에 저장 시에는 압축 암호화해 별도 보관
      5) 랜섬웨어 방지 솔루션 사용
      시큐어디스크 (www.securedisk.co.kr) :
      - 시큐어디스크는 사용자 PC 내 문서를 보안 영역에만 저장하고 랜섬웨어와 같은 비인가 프로세스가 문서를 임의로 읽고/쓰지 못하도록 방지합니다. 이로 인하여 감염으로 인한 피해 발생을 최소화할 수 있으며 버전 관리 기능을 사용하여 실시간 백업된 정상적인 문서로 복구하는 것도 가능합니다.

      7. 참고사이트

      A. 알약 블로그 :
      http://blog.alyac.co.kr/217
      http://blog.alyac.co.kr/449 /
      http://blog.alyac.co.kr/451
      B. 이노티움 사의 랜섬웨어 대응센터 :
      https://www.rancert.com
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
  • 주식회사 스타아이티 - Trusty together, Better Dreams
    150-072 서울시 영등포구 대림1동 989-12 한남빌딩 312호      대표이사 : 박연호     전화 : 02.835.8797     팩스 : 02.834.8797     메일 : sales@starit.co.kr

    Copyright (c) 2013 ~ 2017 StarIT Co.,Ltd. All Rights Reserved.