이메일과 웹 취약점 통해 유포…사용자 파일 암호화해 감염시 복구 어려워
?지난해 1월 이슈가 되었던 랜섬웨어(Ransomware)가 또 다시 유포되고 있어 사용자의 주의가 요구되고 있다.하우리 관계자는 “해당 악성코드는 이메일과 웹 취약점을 통해 유포되고 있으며, 감염될 경우 바탕화면에 다음과 같은 창이 생성되고 사용자의 파일을 암호화하므로 감염시 복구가 어려워 각별히 주의해야 한다”고 강조했다.
▲CTB-Locker 이메일 유포 및 감염 화면. 하우리 제공.
??????????CTB-Locker는 사용자의 문서파일, 이미지(사진)파일, 데이터베이스 등 사용자의 중요 파일들을 모두 암호화시키며, 감염된 파일 복구를 위해 사용자에게 결제를 요구한다.
아래 그림과 같이 파일이 암호화되면 특정 서버로부터 암호키를 부여받지 않고서는 복호화 할 수 없도록 되어있다.
암호화된 문서파일들의 복구키는 결제를 통하지 않고서는 얻을 수 없으며, 지불을 한다고 해도 문서가 복구된다는 보장이 없다.
▲문서 파일 감염 전/후 비교. 하우리 제공.
[파일 생성]
C:Documents and SettingsAdministratorLocal SettingsTemp(랜덤명).exe
또한 시스템 시작 시 자동실행될 수 있도록 스케줄러에 등록한다.
특정 서버에 접속을 시도하며, 사용자 정보 탈취, 암호화키 송·수신 등의 역할을 한다.
랜섬웨어는 이메일의 첨부파일로 유포되거나 불법 소프트웨어 설치시 함께 설치되는 경우, 불법 사이트 이용에 필요한 설치파일(동영상 재생, 도박 및 채팅 프로그램 등)로 위장한 경우가 많다.
하우리 김정수 센터장은 “출처가 불분명한 영문 메일은 과감히 삭제하고 메일에 첨부된 파일은 함부로 실행하지 않도록 해야 한다”고 권고하고 또한 “첨부된 파일을 열람하기 전 백신프로그램으로 검사를 해보거나 중요 파일은 압축해 물리적 백업을 하는 것이 안전하다”고 조언했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
