랜섬웨어

구글 지메일 계정을 위장한 크립톤(Crypton) 랜섬웨어

1,305    2018-05-16


개요  

과거 국외에서 유포되었던 크립톤(Crypton) 랜섬웨어가 현재 국내로 유포되고 있습니다.

해당 랜섬웨어는 구글 지메일 계정(Account-gmail.net)으로 위장한 도메인을 통해 유포되고 있어 사용자들의 주의가 필요하다고 판단되어 따라서 해당 랜섬웨어의 대한 증상 및 대응 방안을 안내드리고자 합니다.



동작방식 

 


· 구글 계정 도메인을 위장한 메일을 통한 유입

· 레지스트리를 기록하여 C&C서버와 통신시

· PC내 파일 스캔 및 파일 암호화후 레지스트리 특정값을 암호와 완료 표시로 변경

· 파일 암호화 및 복호화 안내



파일정보 및 특징 

  

· 파일 암호화 완료후 바탕화면 변조 및 "%APPDATA%" 폴더 하위의 "사용자이름"으로 폴더를 생성하고 "사용자이름_body.exe"의 악성코드 파일을 생성

· 파일명.[랜덤숫자10자리].ransomed@india.com으로 파일명 변조

· 파일 복호화에 있어서 이메일 및 채팅을 통해 복호화 시도를 하는 특징을 가짐



감염 팝업    

▶ 출처: 보안뉴스 (2018.05.16)


대응 방안  


크립톤 랜섬웨어는 현재 구글 도메인 계정을 사칭하여 유포되고 있지만 향후 다른 포털의 도메인 계정을 사칭하여 유포할 가능성 또한 배제할 수없기 때문에 사용자들은 발신자가 불분명한 메일 또는 발신자의 사칭에 대하여 각별이 주의가 필요합니다. 

하지만, 지속적으로 변하는 랜섬웨어를 대응하기 위해서는 기존의 블랙 개념의 보안 솔루션이아닌 화이트 리스트 기반의 프로세스 통제솔루션을 통해 허가된 프로세스만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf

케르베르 랜섬웨어

오시리스 랜섬웨어

악성코드 카테고리 별 설명


댓글 : 0