본문 바로가기
AhnLab 보안in

“내 파일을 보는데 돈을 내라고?!” _랜섬웨어 주의!

by 보안세상 2020. 4. 3.

2007.12.13

 

안철수연구소 ASEC 리포트 11월호에 따르면, 최근 일부 PC 사용자의 동영상 파일들을 감춘 뒤 이를 보기 위해 결제를 유도하는 랜섬웨어가 출현, 사용자들의 각별한 주의가 요구된다고 밝혔습니다. 랜섬웨어가 무엇인지, 어떻게 예방하는지 지금부터 살펴보도록 하겠습니다.


“내 파일을 보는데 돈을 내라고?!”

안철수연구소 ASEC 최신호에 따르면 적절한 사용자 동의 절차 없이 사용자 PC에 설치되어 PC의 동영상 파일을 한곳의 폴더에 수집한 후 그 폴더를 루트킷(RootKit) 기능으로 감춰 사용자들이 접근할 수 없도록 한 뒤 이 동영상을 보기 위해서 결제를 유도하는 새로운 랜섬웨어가 출현했다고 발표했다.

랜섬웨어란 ransom과 ware의 합성어로, 인질을 잡아 몸값을 요구하는 소프트웨어란 의미이다. 즉, 사용자의 컴퓨터에 데이터를 암호화하여 데이터의 내용을 확인하기 위해서 비밀번호를 요구하는데 그 비밀번호를 얻기 위해서 일정 금액을 요구하는 형태의 악성코드를 지칭하는 용어이다.
이번에 문제가 되고 있는 랜섬웨어는 최근 동영상 플레이어로 사용자를 속여 설치되었던 UCCCPlay에 의해서 설치된 것으로 알려지고 있다. 이 랜섬웨어는 설치된 컴퓨터에 모든 동영상 파일 및 국내 대표적인 P2P 프로그램의 다운로드 경로의 파일들을 검색하고 루트킷 기법으로 숨겨진 폴더에 복사 후 원본은 삭제한다. 해당 폴더는 루트킷에 의해 접근이 불가능 하고 랜섬웨어 프로그램에 의해서만 접근이 가능하다. 동영상을 보기 위해서 랜섬웨어를 실행하면 아래와 같이 본인 인증을 받아야 한다는 메시지를 출력한다.

[그림 1] 자신의 동영상을 보기 위해 본인 인증을 요구하는 화면



하지만 실제로 랜섬웨어가 출력한 화면에서 ‘본인 인증 하기’ 버튼을 클릭하면 결제를 위해 아래 그림과 같은 화면으로 이동한다. 이 페이지는 본인 인증이 아니라 휴대전화를 통한 소액 결제창으로 자신의 파일을 보기 위해 결국 휴대전화 결제를 한 셈이다. 특히, 사용자 약관을 매우 작은 크기로 표시하고 있어 일반적으로 사용자 동의를 받기 위한 적절한 방법이라고 보기 힘들다.

[그림 2] 자신의 동영상을 보기 위해 결제를 요구하는 화면

 


현재 안철수연구소에서는 V3 IS 2007 Platinum, 빛자루, 보안클리닉 스파이제로를 통해 이 랜섬웨어의 진단 치료 기능을 지원하고 있다. 이 랜섬웨어를 삭제하면 '복원폴더'라는 별도의 폴더가 생성되며 그곳에 모든 동영상이 복사된다.

이 랜섬웨어는 ActiveX로 배포 및 설치가 되므로 ActiveX 실행 경고창이 떴을 때 주의해야 한다. 또한 인터넷 익스플로러의 보안 설정을 반드시 보통 이상으로 설정해야만 자동 설치되는 것을 막을 수 있다. @

[출처] 안철수연구소 ASEC 리포트 11월호[원문보기]