PC에 저장된 문서, 사진, 동영상 등의 파일을 암호화하여 금전을 요구하는 CryptoWall 랜섬웨어(Ransomware)가 CryptoWall 4.0 버전으로 업그레이드되어 2015년 10월 말경부터 해외 사이트를 중심으로 유포가 이루어지고 있다는 소식입니다.
이번에 확인된 CryptoWall 4.0 랜섬웨어(Ransomware) 악성코드의 변화된 모습과 감염을 사전에 예방할 수 있는 방법에 대해 살펴보도록 하겠습니다.
수집된 CryptoWall 4.0 악성 파일(SHA-1 : fd269658e683d2e27e0e64f9d3be08be50996349 - AhnLab V3 : Trojan/Win32.CryptoWall.R167415)은 스팸 메일에 첨부된 ZIP 압축 파일에 포함된 resume.js 스크립트 파일을 실행시 러시아(Russia) 웹 서버에 등록된 파일을 다운로드하여 감염될 수 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\14f6fa39\581c26ce14.exe
※ (8자리 영문+숫자)\(10자리 영문+숫자).exe
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 14f6fa39 = C:\Users\(사용자 계정)\AppData\Roaming\14f6fa39\581c26ce14.exe
최초 감염이 이루어질 경우 랜덤(Random)한 폴더와 파일명으로 파일을 자가 복제하여 생성한 후 "C:\Windows\System32\svchost.exe" 시스템 파일을 로딩하여 대기를 합니다.
로딩된 svchost.exe 시스템 파일은 다수의 웹 서버와 통신을 시도하며 최대 6분이 경과하는 시점에서 사용자 PC에 존재하는 문서, 사진, 동영상 등의 파일을 RSA-2048 키를 사용하는 AES CBC 256Bit 암호화 알고리즘을 통해 다음과 같이 파일을 암호화합니다.
CryptoWall 4.0 랜섬웨어(Ransomware)의 변화된 특징으로는 기존과 다르게 암호화된 파일명 및 확장명을 모두 변경하여 기존에 무슨 파일이었는지 알 수 없도록 한다는 점입니다.
단, 한글 문서(HWP), PNG 그림 파일과 같은 일부 문서, 사진 파일에 대해서는 암호화가 이루어지지 않고 있습니다.
암호화가 이루어진 후에는 파일 암호화 동작을 수행한 악성 파일(581c26ce14.exe), 자동 실행 레지스트리 값(14f6fa39)을 모두 삭제하여 자신의 흔적을 제거하고 있습니다.
또한 파일 암호화에 따른 금전 요구 목적으로 바탕 화면을 비롯한 다양한 폴더 위치에 HELP_YOUR_FILES.TXT, HELP_YOUR_FILES.HTML, HELP_YOUR_FILES.PNG 3종의 메시지 정보가 포함된 파일을 생성합니다.
참고로 CryptoWall 3.0 버전에서는 HELP_DECRYPT.TXT, HELP_DECRYPT.HTML, HELP_DECRYPT.PNG 파일을 생성하여 돈을 요구하는 메시지를 출력하였습니다.
생성된 3종의 메시지 정보는 시작프로그램 폴더 영역(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)에 등록하여 Windows 부팅시마다 다음과 같이 자동으로 생성되도록 구성되어 있습니다.
해당 메시지에서는 감염된 PC 정보를 기반으로 고유의 URL 주소를 통해 다음과 같은 결제 방법을 안내하고 있습니다.
첫 화면에서는 제시된 문자를 입력하여 Decrypt Service 페이지로 접속하도록 유도하고 있습니다.
연결된 페이지에서는 168시간(7일) 이내에 $700를 비트코인(Bitcoin) 가상 화폐로 지불하도록 안내하고 있으며, 이는 CryptoWall 3.0 버전에 비하여 $200 인상된 가격입니다.
만약 지정된 시간 내에 돈을 입금하지 않을 경우 2배 가격($1,400)으로 자동 인상된다고 밝히고 있으므로, 만약 돈을 지불해서라도 암호화된 파일을 반드시 복구할 필요가 있는 경우는 감염된 시점부터 1주일 이내에 돈을 지불하는 것이 낫습니다.
CryptoWall 4.0 랜섬웨어(Ransomware) 악성코드에 감염된 경우 암호화된 파일을 실행할 경우 "이 파일을 열 수 없습니다."라는 메시지로 RSA Private Key와 공격자가 제공하는 복구 도구가 없는 경우에는 현재 기술로는 거의 복구가 불가능한 것이 사실입니다.
특히 Windows 운영 체제의 시스템 복원 기능을 이용하여 감염 이전 상태로 복구를 하여도 사용자 문서 파일은 복구되지 않는 문제로 암호화된 문서가 계속 유지됩니다.
그러므로 돈을 지불하지 않고 사용자가 일부 암호화된 파일을 복구하길 원한다면 ShadowExplorer 프로그램을 통해 복구를 시도해 보시기 바랍니다.
■ CryptoWall 4.0 랜섬웨어(Ransomware) 감염 예방법
개인적인 판단으로는 80~90% 수준의 랜섬웨어(Ransomware) 악성코드 감염자는 취약점(Exploit)을 이용한 악성코드 유포 방식에 감염이 이루어지고 있을 것으로 보입니다.(※ 그 외의 감염자는 이번 사례와 같이 메일 첨부 파일 또는 불법 파일을 다운로드하여 직접 실행하는 경우일 가능성이 있습니다.)
이런 감염 방식은 기본적으로 보안 패치만 제대로 설치된 환경이라면 자동으로 감염되는 문제가 발생하지 않습니다.
1. 마이크로소프트(Microsoft) 업체에서 제공하는 보안 업데이트 점검하기
마이크로소프트(Microsoft) 업체에서는 매월 정기(긴급)적으로 Windows Update 기능을 통해 보안 패치를 배포하고 있으므로 중요 항목에 표시된 보안 패치는 무조건 설치하시기 바랍니다.
2. 웹 브라우저 보안 업데이트
일반적으로 Internet Explorer 웹 브라우저의 취약점을 이용하여 악의적으로 조작된 웹 사이트 접속시 자동으로 악성코드에 감염될 수 있지만, Chrome, Firefox 웹 브라우저 역시 취약점에 자유로울 수 없습니다.
- Internet Explorer 웹 브라우저 : Windows Update 기능을 통해 업데이트하시기 바랍니다.
- Chrome 웹 브라우저 : 기본적으로 매월 자동 업데이트를 통해 적용되며 "Chrome 맞춤설정 및 제어 → 도움말 및 정보 → Chrome 정보" 메뉴를 통해 확인이 가능합니다.
- Firefox 웹 브라우저 : 기본적으로 매월 자동 업데이트를 통해 적용되며 "Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보" 메뉴를 통해 확인이 가능합니다.
3. Adobe Flash Player 보안 업데이트
보안 취약점이 존재하는 Adobe Flash Player 프로그램은 웹 브라우저를 이용하여 악의적으로 조작된 웹 사이트 접속시 자동으로 악성코드 감염을 유발할 수 있습니다.
기본적으로 Adobe Flash Player 프로그램은 새로운 보안 업데이트가 존재할 경우 Windows 부팅시 업데이트 창을 생성하지만, 즉각적인 업데이트가 이루어지는데는 시간적으로 늦어질 수 있으므로 되도록 사용자가 수동 업데이트를 하시는 것이 가장 빠릅니다.
- Windows XP, Windows Vista, Windows 7 운영 체제 (Internet Explorer) : Internet Explorer 웹 브라우저를 이용하여 Adobe Flash Player 설치 파일을 다운로드하여 업데이트하시기 바랍니다.
- Windows 8, Windows 8.1, Windows 10 운영 체제 (Internet Explorer) : 마이크로소프트(Microsoft) 업체에서 제공하는 Windows Update 기능을 이용하여 업데이트하시기 바랍니다.
- Chrome 웹 브라우저 : 자체 내장 방식으로 Adobe Flash Player 플러그인이 포함되어 있으므로 Chrome 최신 버전을 사용하시기 바랍니다.
- Mozilla Firefox 웹 브라우저 : Firefox 웹 브라우저를 이용하여 Adobe Flash Player 설치 파일을 다운로드하여 업데이트하시기 바랍니다.
특히 2개 이상의 웹 브라우저를 사용할 경우에는 각 웹 브라우저별로 Adobe Flash Player 업데이트를 진행해야 한다는 사실을 잊지 마시기 바랍니다.
4. Oracle Java 보안 업데이트
보안 취약점이 존재하는 Oracle Java 프로그램이 설치된 PC 환경에서 웹 브라우저를 이용하여 악의적으로 조작된 웹 사이트를 방문할 경우 자동으로 악성코드 감염이 이루어질 수 있습니다.
그러므로 Oracle Java 프로그램이 필요하지 않은 환경에서 설치되어 있다면 제어판에 등록된 "Java 7 Update ○○" 또는 "Java 8 Update ○○" 프로그램을 찾아 삭제하시는 것이 가장 좋습니다.
하지만 마인크래프트(Minecraft), OpenOffice 등 특정 소프트웨어 설치시 필수적으로 설치를 요구하는 경우가 있으므로 Oracle Java 프로그램이 설치된 환경에서는 반드시 프로그램에서 제공하는 자동 업데이트 기능을 통해 항상 최신 버전을 사용하시기 바랍니다.
참고로 Oracle Java 프로그램은 기본적으로 3개월마다 정기 업데이트를 통해 보안 패치가 이루어지고 있으며, 자동 업데이트 체크 주기(1주일 1회) 문제로 인하여 수동 업데이트를 원한다면 기존 버전을 삭제한 후 운영 체제에 맞는 수동 설치 파일을 다운로드하여 설치하시기 바랍니다.
5. Microsoft Silverlight 보안 업데이트
Microsoft Silverlight 프로그램이 설치된 환경에서도 웹 브라우저를 이용하여 악의적으로 조작된 웹 사이트에 접속하는 과정에서 자동으로 악성코드에 감염될 수 있습니다.
그러므로 Microsoft Silverlight 프로그램이 필요하지 않은 환경에서는 제어판을 통해 삭제하시는 것이 가장 좋지만 일부 동영상 웹 서비스 이용시 설치를 요구할 수 있습니다.
만약 Microsoft Silverlight 프로그램이 설치된 환경에서는 Windows Update 기능을 통해 최신 보안 패치가 이루어지므로 주기적으로 확인하는 습관을 가지시기 바랍니다.
6. Adobe Reader (Adobe Acrobat Reader DC) 보안 업데이트
PDF 문서 파일을 볼 수 있는 Adobe Reader (Adobe Acrobat Reader DC) 프로그램의 경우 보안 패치가 제대로 이루어지지 않은 경우 스팸 메일 첨부 파일로 발송되는 악성 PDF 문서 파일을 오픈할 경우 자동으로 악성코드에 감염될 수 있습니다.
그러므로 Adobe Reader (Adobe Acrobat Reader DC) 프로그램이 설치된 환경에서는 자동 업데이트 기능(도움말 → 업데이트 확인)을 이용하여 항상 최신 버전을 사용하시기 바랍니다.
7. 취약점(Exploit) 차단 솔루션 활용하기
1~5번 항목에서 언급한 보안 패치를 제대로 설치하지 않은 환경 또는 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포시에는 취약점(Exploit) 차단 솔루션을 통해 백신 프로그램에서 차단할 수 없는 악성코드 감염을 사전 차단할 수 있습니다.
- 취약점(Exploit) 차단 솔루션 : 알약 익스플로잇 쉴드(ALYac Exploit Shield) (2014.11.27)
- Malwarebytes Anti-Exploit 취약점 차단 솔루션
- 바이로봇 APT Shield 2.0 취약점 차단 솔루션
그러므로 백신 프로그램과 함께 취약점 차단 솔루션을 함께 사용하신다면 악성코드 차단에 많은 도움이 될 수 있습니다.
위와 같은 꾸준한 보안 업데이트는 랜섬웨어(Ransomware), 파밍(Pharming) 악성코드 등 소프트웨어 취약점을 이용한 악성코드 유포를 효과적으로 차단할 수 있으며, 보안 패치가 제대로 설치된 환경에서는 악의적으로 조작된 웹 사이트 접속시 백신 프로그램의 차단 여부와 무관하게 악성코드 감염이 이루어지지 않는다는 점을 명심하시기 바랍니다.