랜섬웨어

웹 사이트 방문으로 감염되는 매트릭스 랜섬웨어 안내

636    2017-05-29


개요  

최근 웹사이트 방문만으로 감염되는 새로운 개념의 “매트릭스”라는 랜섬웨어가 등장하였습니다.  

기존 랜섬웨어와 달리 해당 랜섬웨어는 악성코드가 숨겨진 웹사이트에 접속만으로도 감염되며 RIG- Exploit kit를 이용하여 사용자가 모르게 유포되며 감염되고 있는 것으로 나타났습니다.

이에 따라 해당 악성코드의 동작 방식 및 대응 방안을 안내드리고자 합니다.



감염 증상  

· 저장 장치 內 파일 암호화

· 악성코드 시작프로그램 자동 등록

· 복호화 가능 시간 96시간 內 유도

· 네트워크 차단하여도 2차 감염 진행



1) 감염 안내 팝업


▶ 출처: 한국랜섬웨어침해대응센터



동작 방식 


 

· 특정 웹사이트 방문

· 숨겨진 악성코드 실행

· 드라이브 탐색을 하여 감염시킬 목록 분류

· 파일 암호화 및 확장자 변경



버전별 변형 과정

· 1차 변조 확장자명 (matrix)

· 2차 변조 확장자명 (B10CKED)

· 3차 변조 확장자명 (변조 없음)



대응 방안  

관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로  exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방


※ iMONLOPE (랜섬웨어 대응 솔루션) 문의하기



관련 자료

랜섬웨어 소개 및 대응 방안

iMON LOPE 소개자료.pdf



댓글 : 0