ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 16-03-23 14:24
Locky 랜섬웨어의 개요와 대응 방법
 글쓴이 : ESTC
조회 : 6,468  



Locky 랜섬웨어의 사용자 시스템에 대한 공격과 파일 암호화가 시작 된지 몇 주가 지난 지금까지도, Locky는 여전히 많은 사용자를 대상으로 공격을 시도하고 있습니다. 이와 관련한 자세한 기술적인 정보를 제공해 드리는 대신, Locky 랜섬웨어의 개요와 그 피해를 막기 위한 최선의 방법이 무엇인지를 함께 생각해 보고자 합니다.

개요


ESET에서 Win32/Filecoder.Locky.A라고 명명된Locky는 하드디스크, 이동식 디스크 및 네트워크 드라이브 등에 저장된 이미지, 비디오, 데이터베이스 등 100여 가지 종류의 파일을 암호화하는 랜섬웨어의 변종입니다. 일단 실행되면 자신을 %temp%\svchost.exe로 복사한 후 시스템이 시작될 때마다 자동 실행되도록 레지스트리에 자신을 등록합니다.

감염 벡터는 일반적인 이메일 메세지의 첨부 파일로 전파됩니다. (이전 버전은 Word나 Excel 문서에 첨부된 매크로를 사용했습니다). 이 첨부 파일은 트로이목마 다운로더인데, ESET은 JS/TrojanDownloader.Nemucod 및 그 변종으로 진단하고 있습니다. 자바스크립트(.js)가 포함된 이 파일을 열면 새로운 악성코드를 다운로드하여 실행하며, Locky가 다운로드된 파일에 해당합니다.

이후 실행된 Win32/Filecoder.Locky.A는 로컬 및 네트워크 드라이브 내의 파일을 검색하여 암호화한 후 확장자를 '.locky'로 변경하며, 암호화 작업이 완료되면 시스템에 다음과 같은 화면을 표시합니다:



이 후 사용자에게 몸값을 요구하고 랜섬웨어 자신은 시스템에서 삭제됩니다. 추가적으로 랜섬웨어는 암호화된 파일의 목록뿐만 아니라, 운영체제, 시스템 설정 등의 정보를 수집한 후 HTTP 프로토콜을 이용하여 C&C 서버로 전송합니다.

현재 랜섬웨어 변형과 마찬가지로 모든 몸값 지불 방법은 TOR 링크(Deep Web 링크)에 저장되며, 지불 수단은 비트코인으로만 가능합니다.

대응 방법


Locky 랜섬웨어 대응 방법은 이전의 다른 악성코드나 랜섬웨어 대응 방법과 동일합니다만, 여기서 한번 더 짚고 넘어가는 것도 나쁘지 않을 듯 합니다.

• 랜섬웨어 대응에서 백업은 필수적입니다. 현실적으로 랜섬웨어 피해 이후 피해자가 할 수 있는 유일한 해결책은, 암호화된 파일을 복구하기 위해 비용을 지불하는 것뿐입니다. 따라서, 다른 외장 하드 드라이브 또는 클라우드 저장소에 시스템에 저장된 파일의 백업 복사본을 가지고 있는 것이 랜섬웨어 대응에 가장 중요하다고 볼 수 있습니다.

여기서 유의할 점은, 중요 파일을 백업할 동안에만 백업 시스템이 연결되어 있어야 한다는 것입니다. 만약 그렇지 않고 항상 연결되어 있으면, 랜섬웨어가 외장 하드 드라이브, 공유 드라이브 및 클라우드 저장소 등 백업 드라이브에 백업된 파일들도 모두 검색하여 암호화하기 때문입니다.

• 사용 중인 ESET 제품이 최신 버전이며 최신 시그니쳐 데이터베이스로 업데이트 되었는지 확인하고, 행위 기반의 사전 방역을 위한 기능이 활성화되어 있는지 확인하십시오. 이는, 새로운 랜섬웨어 공격에 수분 내에 즉시 대응할 것인지, 또는 바이러스 시그니쳐가 업데이트될 때 까지 수시간을 기다릴 것인지의 차이입니다. ESET 제품은 고급 메모리 검사, HIPS 및 LiveGrid 등의 사전 방역 기능과 함께 익스플로잇 차단 기능을 갖추고 있으므로 이를 모두 활성화하시기 바랍니다.

이미 발견된 랜섬웨어는 시그니쳐 데이터베이스에 반영되어 있기 때문에 랜섬웨어가 실행되기 전에 즉시 대응이 가능하지만, 이제까지 발견되지 않은 새로운 랜섬웨어는 사전 방역 기능이 이를 감지해 내는 동안 몇몇 파일이 이미 암호화될 수도 있습니다. 하지만 몇몇 파일의 암호화 만으로 이외의 모든 파일에 대한 암호화를 막을 수 있기 때문에 ESET의 사전 방역 기능은 새로운 악성코드 및 랜섬웨어에 적극적으로 대응하기 위해서는 매우 중요하고 유용한 기능이라 할 수 있으며, 그 성능과 효과는 이미 국내의 ESET 고객사를 통해 확인된 바 있습니다.



• 시스템에 설치된 운영체제와 모든 소프트웨어를 최신 버전으로 업데이트합니다. 시스템과 애플리케이션의 취약점을 이용한 익스플로잇 공격은 일반적으로 악성코드 제작자에 의해 자주 사용됩니다. 사이버 범죄자는 당신이 최신 업데이트 설치하는 것을 잊은 것만으로도 시스템을 공격하여 악성코드를 감염시킬 수 있다는 것을 잊지 마십시오.

• 시스템을 보호 상태로 유지합니다. 최신 버전으로의 업데이트 이외에도 시스템을 안전하게 유지하는데 도움이 되는 몇몇 방법들이 존재합니다. 출처를 알 수 없는 파일을 실행하기 위해서 추가 권한이 필요하도록 하는 윈도우 UAC 등이 좋은 예가 될 수 있습니다.

• Windows Active Directory가 적용된 기업 환경에서는, 네트워크를 통해 파일을 암호화하거나 랜섬웨어의 확산을 방지하도록 그룹 정책을 설정할 수 있습니다. 예를 들어, 오피스 매크로의 실행을 방지함으로써 악성코드에 감염된 오피스 문서를 무심코 여는 일부 직원에 대해 걱정할 필요가 없습니다.

위의 대응 방법이 번거롭고 불편하다고 느끼실 수도 있습니다만, 보안 기능으로 인한 다소의 불편함을 이해하고, 중요 데이터 보호에 조금만 더 신경을 쓰신다면 랜섬웨어의 피해로부터 자유로와 질 수 있습니다. 바꾸어 말씀을 드리자면, 보안 기능으로 인한 다소의 불편함을 이해하지 못하고, 중요 데이터 보호에 신경을 쓰고 싶지 않으시다면, 어떠한 고가의 보안 솔루션을 도입한다 해도 랜섬웨어의 피해로부터 자유로와 질 수 없습니다.

랜섬웨어 대응, ESET 만으로도 충분합니다.