eXsoft 로고

IT뉴스

 

크리스마스에 선물대신.. 신종랜섬웨어 출현

페이지 정보

작성자 엑스소프트 작성일16-12-27 17:35 조회312회

본문

크리스마스가 얼마 지나지 않았는데요. 시국이 시국인지라 다른해와는 다르게 조용한 크리스마스를 지낸것 같습니다.

이런상황에서 더 우울한 소식이 들려왔습니다. 크리스마스 이브에 즐거운 선물대신 나타난 신종 랜섬웨어가 있습니다.

이름은 데리아락(DeriaLock)이고, 보안전문 기업 G Data에서 처음 발견했다고 합니다.

기존의 랜섬웨어는 대부분 컴퓨터의 파일을 공격하여 암호화하는 방식을 사용해왔는데, 이번 데리아락의 경우는 파일은 원본으로 두고 컴퓨터를 잠가 공격하는 형태를 띄고 있다고 합니다. 

데리아락이 걸리게 되면 화면에 잠금과 함게, 30달러(한화로 3만원 정도)되는 금액을 송금하라는 메세지를 받게됩니다. 스카이프를 사용해서 해커에게 연락을 한 후 돈을 송금하게 되는 방식입니다. 

G Data에서 데리아락의 바이너리를 받아 분석한 결과 PC고유의 IC를 사용해 MD5 해시를 생성한다고 발표했다. 종종 해커가 랜섬웨어를 실수로 자기 PC에 감염시키는 경우가 있는데, 이를 방지하기 위해 데리아락의 소스코드에 하드코딩된 MD5를 두고 이를 매칭해 감염대상을 제외합니다. 본인 PC를 감지해서 대상에서 제외시키는 것입니다. 

MD5 인증 작업 후 데리아락은 C&C서버에 접속해 가장최신버전의 데리아락을 다시 다운받아 실행시키게 됩니다. 저장위치까지 공개했는데, 경로는 다음과 같습니다.

C:/users/appdata/roaming/microsoft/windows/start menu/programs/startup/SystemLock.exe


데리아락의 경우 영어, 독일어, 스페인어로 번역된 메시지까지 제공하고 있지만 내용을 보면 엉망이라고 하네요.

데리아락은 사용자가 우회적으로 PC잠금을 해제하는 것을 막기 위해 taskmgf, procexp, procexp64, skype, chrome, steam, MicrosoftEdge, regedit, msconfig, utilman, cmd, explorer, certmgr, control, cscript 등의 프로세스들이 강제 종료시키며, ALT+F4키를 통한 윈도우 창 종료 시도도 이를 이미 예상한 해커가 차단한 상황입니다.

PC해제를 위해서 돈을 30달러를 송금하면서 HWID 18자리도 함께 전달해야 합니다. 해커는 이 HWID를 C&C서버에 입력해 잠금을 풀기 때문입니다. 실수로 잘못된 HWID를 전송하면 해제가 되지 않을 수 있습니다.

데리아락의 단점이라면 이젠 잘 사용하지 않는 .NET 프레임워크 4.5가 설치되어야 한다는 것인데요. XP기반에서는 데리아락이 걸리지 않는다는 의미이며, 이번 윈도우 10의 경우도 .NET 프레임워크가 자동으로 설치되지 대상에서 제외될 수 있습니다.

하루가 다르게 발생되는 랜섬웨어에서 PC문서를 보호하려면, 역시 사전 예방이 가장 중요할 텐데요. PC의 중요 자원을 주기적으로 백업하는 방법도 있겠지만, 기업이나 기관에서는 대상 PC의 데이터를 실시간으로 백업 받는 것이 가장 좋겠죠? 더 나아가서 PC에 저장하는 것을 제한하는 것도 방법이 될 수 있습니다.

 
** 문서중앙화 솔루션은 PC의 변화를 자동으로 감지해서 파일을 중앙 저장소에 이동, 복사하여 저장하고 감염된 파일의 경우는 사전 점검을 통해 중앙 저장소에 저장되는 것을 차단하고 있습니다. 안전한 PC관리와 문서 및 자료의 보호를 위해 미리 미리 준
비하시고, 궁금한 사항이 있으시면 언제든 연락 주시기 바랍니다.

 

참고자료 : 전자신문 - 크리스마스이브에 출몰한 신종랜섬웨어 '데리어락'