1,260 2017-04-07
개요
랜섬웨어의 인한 PC의 악성코드 감염은 계속되고 있으며, 복구 비용은 지속적으로 오르고 있으며 그로 인하여 비트코인 시장까지 활성화되어 1년 동안 비트코인의 가치는 2배 정도 뛰어넘었습니다.
이에 따라 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내드리고자 합니다. |
감염 증상
· PC내 문서 파일 암호화 · 파일명 변조 및 확장자 변경 · 볼륨 쉐도우의 복사본을 삭제하여 윈도우 복원 불가능 · 복구 시 악성코드 파일 완벽히 제거 필요 (UAC 우회 기법을 통해 재 감염됨) |
동작 방식
· 윈도우의 이벤트 뷰어를 이용한 사용자 계정 제어 보안(UAC) 기능 우회 기법 활용 · 레지스트리를 수정하여 “*.msc” 확장자명에 대한 연결을 탈취 · 이벤트 뷰어의 권한을 따라 실행되기 때문에 사용자 모르게 실행됨 · 감염 화면에서 감염자의 IP와 국가를 알아내 익명 브라우저 클라이언트를 다운받아 명령제어에 사용 (여러 IP를 경유하여 추적 어려움) |
감염 화면
▶ 출처: 이데일리
대응 방안
관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로 exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방 |