최근 새로운 랜섬웨어가 국내 사용자를 타깃으로 유포되고 있는 것이 확인됐다. 특히 정상적인 윈도우 시스템 파일을 통해 PC에 다운로드되기 때문에 더욱 피해가 우려된다.
(*이미지 출처: shutterstock.com)
지난 5월 13일, 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)의 악성코드 분석가들이 새로운 랜섬웨어가 국내에 유포된 것을 포착했다. 이번에 발견된 랜섬웨어는 국내 사용자를 타깃으로 한 정황과 함께 기존 랜섬웨어와는 다소 다른 특징을 보인다.
[그림 1] 신종 랜섬웨어의 랜섬 노트
우선, 이 랜섬웨어는 정상 윈도우 시스템 파일인 "regsvr32.exe"를 통해 PC에 다운로드되기 때문에 사용자가 감염 여부를 알아차리기 어렵다. 이후 감염 PC에 존재하는 여러 폴더에 "how_to_decrypt.txt"라는 랜섬노트 파일을 생성한다. 또 파일을 암호화하고 나면 파일명 뒤에 새로운 확장자만 추가하는 대부분의 랜섬웨어와 달리 ‘kname@protonmail.com’이라는 이메일 계정과 함께 ‘.kname’이라는 확장자를 추가한다.
[그림 2] 파일 암호화 후 변경된 확장자명
또한 암호화할 대상과 암호화하지 않을 대상을 정해놓은 대부분의 랜섬웨어와 달리 이번에 발견된 랜섬웨어는 암호화하지 않을 대상만 정해놓았다. 암호화 제외 대상 중에 ‘AhnLab’ 폴더도 포함되어 있다. 해당 폴더는 대표적인 국내 보안 업체인 안랩(AhnLab)의 보안 제품이 설치되는 폴더로, 안랩 제품과 관련된 폴더에 대해 암호화를 시도하다가 탐지되는 것을 방지하기 위함으로 보인다.
Kname 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.
한편, V3 제품은 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다. 또한 행위 기반 탐지를 통해 [그림 3]과 같은 알림창을 제공한다.
<V3 제품군 진단명>
- Trojan/Win32.Agent (2019.05.14.08)
- Trojan/Win32.Ransom (2019.05.14.07)
[그림 3] V3 제품의 행위 기반 탐지 알림창
한동안 랜섬웨어의 기세가 수그러드는 것처럼 보였으나 최근 신•변종 랜섬웨어가 잇따라 유포되고 있다. 랜섬웨어는 일단 감염되고 나면 피해를 회복할 수 있는 방법이 거의 없기 때문에 감염 예방에 만반의 노력을 기울이는 것이 중요하다. 사용 중인 운영체제(OS)나 소프트웨어의 최신 보안 업데이트를 반드시 적용하고 출처가 불분명한 이메일의 첨부파일은 실행하지 않도록 해야한다. 또 백신 프로그램의 엔진 상태를 최신 버전으로 유지하고 ‘실시간 검사’ 기능을 켜두는(활성화) 것이 좋다.
이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.
단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.
정보 이용 문의 : contents@ahnlab.com
'뉴스,지식창고 > 뉴스,이슈' 카테고리의 다른 글
[AhnLab]직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 (0) | 2019.10.24 |
---|---|
[AhnLab 보안 이슈] 클롭(CLOP) 랜섬웨어 동향 및 대응 방안 (0) | 2019.07.15 |
[안랩보안뉴스]악성 이메일의 최신 공격 기법 (0) | 2018.03.29 |
[AhnLab]가상화폐 채굴 악성코드, 또다시 불법 공유 사이트에 등장 (0) | 2018.03.22 |
[AhnLab]10억분의 1? 생체인식 기술에 관한 궁금증 (0) | 2018.03.22 |
댓글