몇 년 전부터 러시아와 동유럽 중심으로 사용 중인 컴퓨터의 정상 사용을 방해하고 금전적 댓가를 요구하는 랜섬웨어(Ransomware) 감염과 그 피해는 익히 알려져 있다. 이러한 랜섬웨어는 감염에 따른 금전적 댓가 확보를 위해 감염 시스템의 언어에 맞는 언어로 표기하는 등 지속적인 발전을 이루고 있다.

이러한 랜섬웨어는 지속적으로 제작이 되고 있는 최근 러시아 블랙 마켓(Black Market)을 중심으로 랜섬웨어를 제작할 수 있는 생성기가 발견되었다.

이 번에 발견된 랜섬웨어 생성기는 아래 이미지와 같은 형태로 러시아로 모든 메뉴가 작성되어 있으며, 왼편 러시아는 랜섬웨어 감염시에 보여줄 문구를 표기해두고 있다.


감염시에 보여주는 러시아 문구는 아래와 같으며, 이를 번역하게 되면 "당신의 시스템에 불법 성인물이 발견되어 사용이 금지되었으며, 이를 해제하려면 500 루블(한화 약 19,000원)을 지불하여야만 해제 코드가 제공됩니다. 지불하지 않을 경우에는 시스템은 영원히 사용 금지되며 데이터는 모두 파괴됩니다."와 같다.

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с
элементами педофилии, детского порно и гей-порно. Для снятия блокировки Вам
необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале
оплаты пополните счет абонента БИЛАЙН XXXXXXXXXXX на указанную выше сумму.
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке
терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части
окна. После снятия блокировки Вы должны удалить все материалы, содержащие
элементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем
персональном компьютере будут безвозвратно уничтожены.

실제 해당 랜섬웨어 생성기로 생성한 파일을 실행하게 되면 윈도우 시스템은 재부팅을 하게 되며 재부팅 이후에는 MBR(Master Boot Record)를 위 러시아 내용으로 덮어쓰게 된다.

그리고 부팅시에는 아래 이미지(러시아의 문구가 손상되어 표기)와 같이 윈도우 부팅시에 나타나며 잠금을 풀수 있는 코드를 입력하도록 되어 있다.


이러한 랜섬웨어 생성기가 제작되고 블랙 마켓을 중심으로 공유되고 있다는 점은 다양한 랜섬웨어 변형들의 제작 시도가 이루어지고 있다는 것을 알 수 있으며, 그에 따른 피해 역시 지속적으로 증가 할 수 있다는 것으로 해석할 수 있다.

이 번에 발견된 랜섬웨어 생성기로 제작하는 랜섬웨어들은 V3 제품군에서 다음과 같이 진단 및 치료가 가능하다.

Win-Trojan/Ransome.10240

이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC