해외 보안 업체와 언론들을 통해 11월 25일경 일반 컴퓨터 시스템이나 파일들을 암호화하여 금전적인 댓가를 요구하는 랜섬웨어(Ransomware)를 다운로드 하는 악성코드가 첨부된 이메일이 유포된 것으로 알려졌다.
랜섬웨어를 다운로드하는 악성코드는 일반적인 다운로더(Downloader) 형태의 트로이목마가 아니라 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 기존에 알려진 APSB09-04 (CVE-2009-0927) 취약점을 악용하는 특이한 전파 형태를 취하고 있다.
일반적으로 현재까지 알려전 랜섬웨어는 크게 2가지 형태로 다음과 같이 나누어 볼 수 있으며 주로 러시아를 포함한 동유럽권에서 감염 및 피해 사례가 알려져 있다.

제우스 악성코드인 Zbot 변형에 의해 다운로드 된 후 실행되는 랜섬웨어는 감염된 시스템의 바탕화면에 텍스트 파일인
“HOW TO DECRYPT FILES.txt (1,181 바이트)” 파일을 생성하며 아래 이미지와 같이 메모장을 통해 사용자에게 보여주게 된다.

텍스트 파일에 쓰여진 내용은 사용하는 시스템에 존재하는 파일들이 RSA-1024 알고리즘으로 암호화되었으며 이 파일들을 복호화하기 위해서는 120 달러(한화 약 144,000원)를 송금하고 특정 메일 주소로 텍스트 메시지에 존재하는 시리얼 키를 알려주면 복호화 할 수 있는 프로그램을 보내주겠다는 내용을 가지고 있다.

이와 함께 감염된 시스템의 D 드라이브에 존재하는 폴더의 파일들을 검색하여 순서대로 암호화를 시키도록 시도하며 D 드라이브가 존재하지 않을 경우에는 C 드라이브부터 검색하여 암호화를 시도한다.

암호화 대상이 되는 파일들은 마이크로소프트(Microsoft)의 오피스(Office) 제품군인 워드(Word), 엑셀(Excel) 그리고 파워포인트(PowerPoint) 파일들과 텍스트(Text) 파일 그리고 이미지(BMP, JPG) 파일 등이다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Categories:악성코드 정보