랜섬웨어 예방요령, 랜섬웨어 예방 대국민 행동요령 보호나라

랜섬웨어가 정말 무서운 시대가 되어가는 것 같습니다.

 

보호나라에서 랜섬웨어 예방요령에 대하여 올라온 방법을 해봤는데요.

 

생각보다 어렵지 않습니다.

 

 

뉴스를 보니 나중에 랜섬웨어는 더 강력해질 것이라고 하는데요.

 

이제는 인터넷이 발전한 만큼 더 조심하고 보안에 더욱 신경을 써야겠습니다.

 

 

 

랜섬웨어(Ransomware) 정의

 

 

몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수

 

없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일,

 

파일공유 사이트를 통해 유포됩니다.

 

랜섬웨어 감염경로

 

 

신뢰할 수 없는 사이트

신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이

 

다운로드(Drive-by-Download) 기법을 통해 유포됩니다. 이를 방지하기 위해서 사용하는 PC의

 

운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트하는 것이 중요합니다. 또한 음란물,

 

무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자제를 권고합니다.

※ 드라이브 바이 다운로드는 취약한 웹사이트에 방문하였을 뿐인데 사용자 모르게 악성 스크립트가

 

동작하여 취약점을 유발시키는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를

 

감염시키는 기법입니다.

 

스팸메일 및 스피어피싱

출처가 불분명한 이메일 수신시 첨부파일 또는 메일에 URL 링크를 통해 악성코드를 유포하는

 

사례가 있으므로 첨부파일 실행 또는 URL 링크 클릭에 주의가 필요합니다.

최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘송년회 안내’, ‘영수증 첨부’

 

등과 같이 일상생활과 밀접한 내용으로 위장하고 있어 출처가 명확한 첨부파일도 바로

 

실행하기보다는 일단 PC에 저장 후 백신으로 검사하고 열어보는 것을 권고합니다.

 

파일공유 사이트

토렌트(Torrent), 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드 받고 이를 실행할 경우,

 

악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요합니다.

 

사회관계망서비스(SNS)

최근 페이스북, 링크드인 등 사회관계망서비스(SNS)에 올라온 단축URL 및 사진을 이용하여

 

랜섬웨어를 유포하는 사례가 있습니다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로

 

위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요합니다.

 

 

 

주요 랜섬웨어

 

록키(Locky)

‘16년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목 사용

자바 스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시에 랜섬웨어를

 

다운로드 및 감염 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며,

 

바탕화면과 텍스트 파일로 복구 관련 메시지 출력 최근의 록키 랜섬웨어는 연결 IP 정보를 동적으로

 

복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작

크립트XXX(CryptXXX)

지난 2016년 5월, 해외 백신사의 복호화 툴 공개 이후에 취약한 암호화 방식을 보완한

 

크립트XXX 3.0 버전이 유포 초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나,

 

최근에는 뉴트리노 익스플로잇 키트(NeutrinExploit Kit)를 사용 크립트XXX에 감염되면 파일

 

확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경 비트코인 지불 안내 페이지에는

 

한글 번역 제공 실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL)형태로 유포

정상 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작

현재 버전은 네트워크 연결 없이도 파일들을 암호화

케르베르(CERBER)

CERBER는 말하는 랜섬웨어로 유명

※ 감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other

 

important files have been encrypted” 음성 메시지 출력

웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 .cerber로 변경,

 

최근 이메일 통해 유포되는 정황 발견 악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을

 

사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일은 암호화 윈도우즈 볼륨 쉐도우

 

(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦

크립토락커(CryptoLocker)

‘13년 9월 최초 발견된 랜섬웨어의 한 종류로 자동실행 등록이름이 크립토락커(CryptoLocker)로

 

되어있는 것이 특징 웹사이트 방문 시 취약점을 통해 감염되거나, E-Mail 내 첨부파일을 통해

 

감염되며, 확장자를 encrypted, ccc로 변경

파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종류를 생성(DECRYPT_INSTRUCTIONS.* /

 

HOW_TO_RESTORE_FILES.*)

윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦

테슬라크립트(TeslaCrypt)

‘15년 국내에 많이 유포된 랜섬웨어로 ‘16년 5월경 종료로 인해 마스터키가 배포되었음

취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr등으로 변경

드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나

 

네트워크 드라이브는 감염 대상에서 제외

악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내문구를 바탕화면에 생성

 

 

 

 

 

 

 

 

 

랜섬웨어 예방요령

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

랜섬웨어 방지 대국민 행동

 1) PC를 켜기 전 네트워크 단절
     - 랜선 뽑기
     - 와이파이 끄기

 2) 감염 경로 차단
     - 방화벽 설정 변경
 
 3) 인터넷 재연결 후 보안 업데이트
     - 윈도우 보안 패치 실행
     - 백신 프로그램 업데이트

 

 

파일 공유 기능 해제 - 방화벽 설정

   Window 방화벽에서 SMB에 사용되는 포트 차단
    1) 제어판 → 시스템 및 보안
    2) Windows 방화벽 → 고급 설정
    3) 인바운드 규칙 → 새규칙 → 포트 → 다음
    4) TCP → 특정 로컬 포트 → 139, 445 → 다음
    5) 연결 차단 → 다음
    6) 도메인, 개인, 공용 체크 확인 → 다음
    7) 이름 설정 → 마침

 

 

파일 공유 기능 필요 시 - 방화벽 설정 복구

   Window 방화벽에서 SMB 차단 설정 삭제
    1) [제어판] → [시스템 및 보안] → [Windows 방화벽] → [고급 설정]
     2) [인바운드 규칙] → [SMB 차단] → [우클릭 후 삭제, 예(Y)] → [재부팅]

 

 

 

 

 

 

출처: KISA 보호나라

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723