랜섬웨어(ランサムウェア)라고 하면 아마도 쉽게 이야기하면 사용자의 컴퓨터에 있는 문서 파일, 동영상 파일 등을 암호화해서 가상화폐인 비트코인 같은 걸로 송금하면 해당 복구 도구를 주겠다고 협박을 하는 악성코드를 말을 합니다. 보통 랜섬웨어이 감염되는 경로는 간단합니다. 기본적으로 해야 하는 Windows 업데이트을 하기 귀찮아서 윈도우 자동 업데이트를 꺼 버리고 설치를 하지 않은 경우 자동 갱신에서 수동 업데이트로 전환을 했더라고 업데이트를 해야하는데 하지 않았으면 어도비 플래시 플레이어(Adobe Flash Player)등과 같은 프로그램을 최신 업데이트를 하지 않은 경우,브라우저도 최신 갱신을 유지해야 하는데 하지 않은 경우, 어둠의 경로를 이용하다가 걸리는 경우등 다양합니다.
일단 기본적으로 Windows 갱신 같은것만 잘 해주어도 피해는 막을 수가 있습니다. 일단 CERBER 4.0 랜섬웨어에서 데이터베이스 파일 암호화 기능 추가했다는 소식입니다. CERBER 같은 경우에 Ransomware as a service(RaaS라고 불리는 것으로 사이버 범죄를 저지려는 초보자에게 판매가 되고 있고 이를 통해서 다양한 변종이 발생을 하고 있습니다.최근까지 CERBER랜섬웨어는 Windows 스크립트 파일의 이용을 하고 클라우드 서비스를 이용해서 조금더 노골적이게 변화를 하고 있고 그리고 CERBER 4.1.4 버전이 나온지 하루만에 CERBER 4.1.5 버전 업데이트를 하는 것도 볼수가 있습니다.
그리고 최근까지 전세계적으로 CERBER 작성자는 해당 랜섬웨어를 이용을 하는 사람들 즉 악의적인 목적을 가지고 있는 사람들에게 판매를 통해서 이용하는 회원?들에게 이용료로 40%의 수수료를 챙기고 있으며 2016년7월동안 20만 달러를 이익을 챙겼다고 합니다.
즉 악성도구를 판매를 하고 돈을 벌고 랜섬웨어에 감염이 된 사람들에게서도 돈을 벌고 있는 셈이 되는것입니다.그리고 CERBER 뿐만 아니라 SURPRISE,PowerWare,Emper등의 랜섬웨어(ランサムウェア)의 암호화 대상 파일은 dBASE(dbf),Microsoft Access(확장자 accdb),Ability Database(확장자 mdb)Apache OpenOffice(확장자 odb)등이 포함이 되어져 있고 기업이나 병원같은 곳에서 피해가 발생을 하며 랜섬웨어를 풀러주는 댓가인 몸값을 지불하는 금액도 커지고 됩니다.이번에 발견이 된 CERBER 4.1.0.1.4,CERBER 4.1.5 버전은 CERBER 4.1.0이전 버전과 마찬가지로 특정 언어로 구성이 된 기기 또는 컴퓨터 환경은 감염을 시키지 않고 있습니다.즉 Windows API 함수 GetKeyboardLayoutList을 이용해서 설정 언어를 확인을 하고 특정 언어가 발견이 되면 해당 렌섬웨어는 활동을 종료를 하게 되어져 있습니다.
러시아 어(ロシア語),우크라이나 어(ウクライナ語),벨라루스 어(ベラルーシ語),타지크어(タジク語),아르메니아어(アルメニア語),아제르바이잔어 라틴문자(アゼリー語ラテン文字),그루지아 어(グルジア語),카자흐 어(カザフ語),키르기스스탄 키릴어(キルギス語キリル文字),투르크멘 어(トルクメン語),우즈베크어(ウズベク語ラテン文字),타타르어(タタール語),루마니아 꼐 몰도바 어(ルーマニア語系モルドバ語),러시아 어 계 몰도바어(ロシア語系モルドバ語),아제르바이잔어 키릴어(アゼリー語キリル文字),우즈베크어 키릴 문자(ウズベク語キリル文字 )입니다.이 공통점을 보면 쉽게 눈에 들어 올것입니다.예 동구권 국가인것을 파악을 할수가 있습니다.그리고 2016년3월부터는 미국(米国),대만(台湾),독일(ドイツ),일본(日本),호주(オーストラリア),중국(中国),한국(韓国),프랑스(フランス),이탈리아(イタリア),캐나다(カナダ)에 발견이 되고 있습니다.
일단 CERBER 랜섬웨어 경로는 주로 스팸 메일을 통해서 감염이 이루어 지며 온라인 결제 서비스 제공자 로부터 전송이 되어진 신용카드 한도 초과액의 이메일로 위장을 하고 있다는것을 특징이면 그리고 사용자에게는 통장 계좌를 확인을 하라는 메시지가 표시가 됩니다.그리고 컴퓨터를 감염 시키기 위해서 기본적으로 두가지 방법을 사용을 하고 있습니다.기본적으로 스팸메일을 통해서 사용자가 첨부파일을 열게 하고 해당 첨부 파일을 실행시키는 순간 감염이 되는경우,그리고 해당 Word에 첨부된 파일은 잘못도니 매크로가 포함이 되어져 있으면 매크로를 사용하여 랜섬웨어를 다운로드 하고 실행을 하도록 구성이 되어져 있으며 CERBER 랜섬웨어는 익스플로잇 키드도 활용을 하고 있습니다.
예를들면 Rig Exploit KitRig EK),Neutrino Exploit Kit(Neutrino EK),Magnitude Exploit Kit(Magnitude EK을 이용하여 랜섬웨어가 확산을 하고 있습니다. 그리고 해당 악성코드인 CERBER은 이동식 하드디스크, 이동식 드라이버 등에 있는 파일도 암호화하고 컴퓨터에 있는 공유 네트워크 폴더의 파일도 암호화하고 그리고 RAM(램) 디스크에 있는 파일도 암호화해버립니다.
그리고 해당 랜섬웨어인 CERBER는 안정적으로 암호화하기 위해서 기본적으로 데이터베이스 소프트웨어를 먼저 중지시키며 의료관리데이터베이스 소프트웨어 관련 파일도 포함됩니다. Microsoft Access, Alpha Five, Ability Database, Advantage Database Server, Progress Database, Backup copy, Microsoft Works, Braise Database, SQLite 3 File, Comma-separated Value, Clarion, MSQLite Database,ANSYS,Arcview,dBASE IV,dBFast,iRiver Plus3,Ruby SQL File등을 파일을 암호화합니다. 그리고 해당 랜섬웨어를 예방하는 방법은 앞서 적은 부분과 그리고 3개 이상의 복사본, 2가지 이상의 기기(하드디스크, USB 메모리), 백업 파일은 다른 위치에 저장하고 반드시 백신프로그램,윈도우 업데이트는 반드시 해야 합니다.
기본적으로 윈도우 업데이트는 매월 둘째 주 수요일에 이루어지므로 해당 날짜에 귀찮더라도 업데이트를 하는 것은 필수입니다. 그리고 프로그램 같은 것은 반드시 프로그램 제조 업체에서 다운로드 하고 그 외의 사이트는 피하는 것이 좋은 방법이며 그리고 어둠의 경로를 이용하는 것을 줄이는 것도 좋은 방법이 될 것입니다.
<기타 관려 글>
[보안(Security)] - 랜섬웨어 CTB-Locker 제거 방법
[보안(Security)] - PadCrypt 랜섬웨어 증상과 제거 방법
[보안(Security)] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent
[보안(Security)] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware
[보안(Security)] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
[보안(Security)] - 카스퍼스키 CrySis 랜섬웨어 파일 복구툴 Kaspersky RakhniDecryptor 배포
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 구글 크롬 55.0.2883.75(Google Chrome 55.0.2883.75)보안 업데이트 (0) | 2016.12.02 |
|---|---|
| 어베스트 TeslaCrypt 랜섬웨어 포함한 4종류 랜섬웨어 복호화 도구 공개 (0) | 2016.12.02 |
| [긴급 보안 업데이트]Firefox 50.0.2(파이어폭스 50.0.2),Tor Browser(토르 브라우저) (2) | 2016.12.01 |
| Firefox 50.0.1(파이어폭스 50.0.1) 보안 업데이트 (2) | 2016.11.29 |
| Internet Explorer,Microsoft Edge 에서 피싱사이트 신고 방법 (2) | 2016.11.28 |
| Malwarebytes에서 Telecrypt 랜섬웨어 복구 도구 공개 (2) | 2016.11.24 |
| 카스퍼스키 CrySis 랜섬웨어 파일 복구툴 Kaspersky RakhniDecryptor 배포 (0) | 2016.11.22 |
| 노턴 인터넷 시큐리티 22.8.1.14 제품 업데이트 (4) | 2016.11.18 |
