Cerber Ransomware 관련 이슈

2017. 1. 31. 15:01


최근 보안업계에서는 Ransomware가 큰 화제를 모으고 있습니다.
Ransomware란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로, 파일을 강제로 암호화
시킨 뒤 암호를 풀기위해서는 돈을주고 복호화 키를 구입하게하는 바이러스 입니다.


침투 경로로는 웹페이지의 JAVA, Adobe Flash Player, Adobe AIR, Adobe Reader, MS Silverlight 등의

취약점을 이용하여 침범하는 경우도 있고, 이메일의 첨부파일로 위장하여 클릭을 유도하는 경우도 있습니다.





한 번 걸리면 컴퓨터에 저장된 데이터 파일의 대부분을 사용하지 못하게 파일 확장자를 (locky변종의 경우 .ZEPTO) 변경시킬 뿐만 아니라 같은 네트워크에 연결된 다른 컴퓨터의 파일까지도 사용 할 수 없게 만들어

회사 업무가 마비된 경우도 많습니다.


초창기의 Ransomware에서는 주로 Microsoft사의 excel, word등의 프로그램이 암호화 되었는데,

최근 Ransomware는 .hwp같은 한글 파일도 암호화함으로써 한국도 타겟이 되었다 볼 수 있습니다.


랜섬웨어 바이러스는 걸리고나서 수분내에 파일들을 암호화 하고, 암호화된 파일들의 복구키를 받고싶으면

돈을 보내라는 웹페이지를 띄웁니다.


랜섬웨어 종류별 요구하는 비트코인은 아래와 같습니다.


(랜섬웨어 종류별 요구 비트코인, 자료출처 : 한국랜섬웨어침해대응센터)


현재 어느정도 시간이 지난 랜섬웨어의 경우는 안랩, 카스퍼스키, 알약, 앱체크 등에서 보호를 하고있지만, 제로데이의 경우에는  보안에 취약할 수 있어 보안에 대한 관심이 필요합니다.


랜섬웨어의 종류는 더 다양하고 많지만 그 중 Cerber Ransomware에 대해 알아보도록 하겠습니다.


Cerber Ransomware는 파일을 암호화 한 뒤 감염된 파일의 확장자를 랜덤한 4자리 조합으로 변경을 하며, 특정한 행위 없이 인터넷 사이트 방문만으로도 감염이 될 수 있습니다.
해당 랜섬웨어의 경우는 사용자가 인지하지 못하는  네트워크의 경로를 찾아서 데이터를 암호화하기 때문에

위험성이 높다고 할 수 있습니다.


최근의 Cerber Ransomware는 파일 복구비용이 기존 $500에서 $1,000으로 가격이 2배나 올랐는데, 이러한
가격의 상승은  과거의 성공을 보여주는 강력한 지표로 보여집니다.

이 Ransomware의 감염은 다음과 같이 진행됩니다.


최근의 변종 Cerber는 다음의 DNS요청을 합니다.
- vyohacxzoue32vvk.3sc3f8.bid
- btc.blockr.io


그리고 다음의 파일들을 파일시스템에 추가합니다.
- %SYSTEMROOT%\README.hta (ransom information page)
- %USERPROFILE%\Local Setting\Temp\README.hta (ransom information page)

그런 다음 파일 시스템의 다양한 파일을 10개의 임의의 영숫자로 암호화하고 .9d4b로 확장자를 바꿉니다.
새로 암호화된 파일이 들어있는 모든 디렉토리에 README.hta를 복사하고, 데스크탑 화면에 다음의 정보를 표시합니다.




화면에서 보시는 것과 같이 비트코인을 요구하는것을 볼 수 있으며, 5일내에는 1.3545비트코인($1,000), 5일이 지나면 약 2배의 금액을 요구하는 것을 알 수 있습니다.
그리고 원격 C&C/KEY 서버에 감염된 것으로 보고를 합니다.




결재 확인을 위해 자금이 필요한 비트코인의 주소 상태를 확인합니다.




작성하는 지금도 여전히 랜섬웨어에 의한 수입은 발생하고 있습니다.
지금까지 거의 $21,000에 상응하는 수익을 창출했다고 합니다.
당분간 Ransomware는 불특정 다수의 기업들에 피해를 줄것으로 보이며,

보안에 더 많은 관심을 기울여야 할 것 같습니다.


만약 Ransomware 에 감염이되었다 의심이 되는 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장 장치와의

연결을 해제 해야합니다.
아직 Ransomware 가 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유 폴더의 파일들도 암호화 될 수 있기 때문입니다.
그리고 Ransomware 에 감염되고있는 도중에 컴퓨터 전원을 꺼버리게 되면,

Ransomware 종류에 따라서는 파일을 삭제해버릴 수 있기 때문에 주의를 요합니다.


Ransomware 에 대처하기 위한 방안으로는
첫째, 윈도우 백업을 주기적으로 해줄것
둘째, 백신소프트웨어의 설치 및 최신버전으로 업데이트
셋째, 보안이 취약한 페이지 방문 및 발신자가 명확하지 않은 메일의 첨부파일 실행 자제
넷째, 방화벽에서 APT 탐지를 통해 의심되는 Script/Binary로 랜섬웨어를 효과적으로 대처할 수 있습니다.
위의 방법으로도 100% 방어가 되는것은 아닙니다.


하지만 미리 알고 대비를 해놓는다면 피해를 최소화 시킬수 있습니다.

 





profile_wonjun1


Posted by 로버무트
,