1,213 2017-05-19
개요
최근 국내 이슈로 사용자들의 심리를 활용한 서비스형 랜섬웨어인 '오토디크립트'가 유포되고 있습니다. 해당 랜섬웨어는 유창한 한국어로 사용자의 관심을 끌며 감염 안내를 하고 있습니다. 비너스락커 랜섬웨어와 유사한 형태로 유포되고 있으며 코드가 100% 일치합니다. 공격자는 개발 비용과 시간을 절약하고 유포자 추적을 어렵게 하기 위하여 Raas 방식의 오토디크립트를 활용하기 시작한 것으로 판단되고 있습니다. 이에 따라 사용자들의 주의가 필요할 것으로 판단되어 해당 악성코드의 동작 방식 및 대응 방안을 안내드리고자 합니다. |
감염 증상
· 저장 장치 內 파일 암호화 · 암호화된 감염 사실 한국어 안내 팝업 · 영문 음성으로 랜섬웨어 감염 사실 안내 · 저렴한 복구비용을 요구 (한화 약 18만 원 상당) 1) 첨부파일 |
2) 감염 안내 안내 |
동작 방식
· 메일을 통해 유입 ▷ 유창한 한국어를 통해 사용자들의 호기심을 유발 · 사용자 첨부된 이미지 파일 실행 ▷ 이중 확장자로 위장된 바로 가기(*.lnk) 파일 실행 · 악성코드 파일 실행되어 파일 암호화 및 감염 사실 안내 |
대응 방안
관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로 exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방 |
관련 자료