최근 웹 서핑을 하는 중 사용자도 모르게 감염되는 ‘리벤지(Revenge) 랜섬웨어가 나타나 성행하고 있습니다.

리벤지 랜섬웨어는 리그 익스플로잇을 통해 자동으로 웹 브라우저 및 웹 플러그인의 취약점을 이용하여 불특정 대상을 대상으로 무분별하게 랜섬웨어가 유포되고 있으며 국내에서 많이 사용하는 문서 파일의 확장자인 ‘.HWP’의 문서파일들에 대해서도 암호화하며 가짜 알림 팝업을 통하여 윈도우 사용자 계정의 권한을 관리자 권한으로 상승하여 사용자들의 각별한 주의가 필요합니다.

이에 따라 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내드리고자 합니다.

· PC 내 문서 파일 암호화

· 파일명 변조 및 확장자 변경 (*.REVENGE)

· 볼륨 섀도의 복사본을 삭제하여 윈도우 복원 불가능

· 웹 브라우저 및 웹 플러그인의 취약점을 통해 침투

· Windows Defender Error 가짜 알림 팝업을 통하여 관리자 권한 획득

· 랜섬웨어 파일을 관리자 권한으로 실행되어 파일 암호화 수행

· 볼륨 섀도의 복사본을 삭제하여 복원 불가능 (특정 명령어를 통해 수행)

· 다국어 감염 알림 팝업 발생

1) 권한을 상승하기 위한 가짜 알림 팝업

2) Revenge 파일 암호화

3) Revenge 감염 사실 알림

관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로  exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방

※ iMONLOPE (랜섬웨어 대응 솔루션) 문의하기