2011년 3월 22일 윈도우(Windows) 운영체제의 라이센스 경고 메시지로 위장한 랜섬웨어(Ransomware)가 발견되었다. 이 번에 발견된 랜섬웨어는 사용하는 윈도우 운영체제의 라이센스가 복사본이며 새롭게 인증을 받으라며 특정 전화로 연결하도록 유도하고 있다.

해당 랜섬웨어의 감염 및 동작 형태로 미루어
3월 13일 발견된 한국어로 표기된 사이버 범죄 경고 랜섬웨어의 다른 변형으로 추정된다.

해당 랜섬웨어가 시스템에서 실행이 되면 감염된 시스템의 언어 코드를 획득하여 아래와 같이 한국어 윈도우일 경우에는 한국어 메시지를 표기 해주고 있다.

표기된 메시지는 윈도우 라이센스가 사본이며 정상 라이센스 구매를 한 것이 아님으로 차단하였다 허위 문구를 보여주며 인증이 활성화 될 때까지 컴퓨터를 정상적으로 사용하지 못한다고 안내하고 있다.


실제 해당 프로그램으로 인해 다른 프로그램들의 실행을 방행하여 정상적인 시스템 사용을 방해하고 있다.


해당 문구의 안내에 따라 다음을 누르게 되면 아래 이미지와 같이 특정 전화 번호들로 전화를 하여 라이센스를 활성화하라고 권유하고 있다.


그러나 실제 한국에서 해당 전화번호들로 전화를 걸게되면 없는 번호라는 안내를 받게된다.

이 번에 발견된 허위 윈도우 라이센스 랜섬웨어는 취약한 웹 사이트 등을 통해 유포 되고 있는 것으로 추정됨으로 신뢰 할 수 없는 웹 사이트 접속을 주의하고 취약점이 존재하는 웹 브라우저를 최신 버전의 웹 브라우저로 업데이트 하여 사전에 이런 형태의 랜섬웨어 감염을 예방하는 것이 중요하다.

해당 랜섬웨어는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.320000.AT
Win-Trojan/Serubsit.145920

이러한 랜섬웨어와 같은 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC