(주)안랩(AhnLab, Inc.) 보안 업체에서 문서, 사진, 동영상, 음악 등 개인 파일을 암호화하여 금전 협박을 하는 랜섬웨어(Ransomware) 악성코드 차단 목적으로 AhnLab V3 365 Clinic 유료 제품에 "랜섬웨어 차단 사용" 기능을 추가하였다는 소식입니다.
이번 업데이트를 통해 AhnLab V3 365 Clinic 환경 설정의 "고급 설정 → 랜섬웨어" 항목에서는 기본값으로 "랜섬웨어 차단 사용" 기능이 활성화 되었으며, 해당 기능은 반드시 "네트워크 → 침입 차단 → 행위 기반 침입 차단" 기능을 사용해야 정상적으로 동작한다고 밝히고 있습니다.
현재 랜섬웨어(Ransomware) 악성코드에 감염될 경우 AhnLab V3 보안 제품에서는 행위 기반 차단을 통해 미끼(Decoy) 파일 변경 시도 탐지 행위에 대하여 Malware/MDP.Manipulate.M907 진단명과 같은 방식으로 차단할 수 있었습니다.
하지만 행위 기반을 우회할 경우를 대비하여 이번에 새롭게 추가된 랜섬웨어 차단 기능은 어떻게 동작하며 사용자가 추가적으로 수행해야하는 대응 방법에 대해 살펴보도록 하겠습니다.
테스트에서는 AhnLab V3 보안 제품의 진단을 우회하는 랜섬웨어(Ransomware) 변종을 통해 정상적으로 악성 파일이 감염되어 파일 암호화를 수행하는 경우를 가정하였으며, 새롭게 추가된 랜섬웨어 차단 기능을 통해 "랜섬웨어 차단" 경고창을 생성하는 모습을 확인할 수 있습니다.
해당 랜섬웨어 차단 메시지 창의 내용을 해석해보면 악성 파일이 실행되어 "C:\Windows\SysWOW64\svchost.exe" 시스템 파일(정상 파일)에 인젝션되어 정상적인 파일을 암호화(m79r6r81dn.7r69a)를 수행하는 시점에서 svchost.exe 프로세스를 차단한 모습입니다.
위와 같은 랜섬웨어 차단 메시지에서 주목할 점은 "랜섬웨어 보안 가이드" 버튼을 통해 안랩(AhnLab)에서 안내하는 수동 조치 방법을 참고하여 악성 파일을 사용자가 직접 제거하도록 안내하고 있으며, 해당 차단창은 단순히 암호화를 중단하였을 뿐 악성 파일이 자동으로 삭제된 것을 의미하는 것은 아닙니다.(※ 일부 랜섬웨어는 차단 후 자동으로 삭제 처리될 수 있습니다.)
■ 울지않는벌새 블로그의 AhnLab V3 365 Clinic 보안 제품 랜섬웨어(Ransomware) 대응 가이드
안랩(AhnLab) 보안 업체에서 제공하는 랜섬웨어 보안 가이드는 매우 복잡하고 이해하기 어렵다는 점에서 개인적으로 블로그를 통해 랜섬웨어(Ransomware) 제거 방법을 안내하였기에 관련 내용을 기반으로 AhnLab V3 365 Clinic 제품을 통한 대응 가이드를 정리해 보았습니다.
(a) AhnLab V3 365 Clinic 보안 제품이 랜섬웨어 차단창을 생성할 경우 "도구 → 로그 → 진단 로그" 메뉴를 실행하여 확인해보면 악성 프로그램 실행을 통해 "C:\Windows\SysWOW64\svchost.exe" 프로세스(정상 파일)로 파일 암호화를 진행하는 과정에서 랜섬웨어 행위 차단이 이루어졌음을 알 수 있습니다.
해당 로그에서는 차단된 프로세스가 아닌 탐지된 AhnLab V3 보안 제품에서 진단하지 못하는 악성 프로그램의 경로(대상)를 확인하여 파일(d038c103a4.exe)을 찾아 직접 삭제해야 합니다.
만약 해당 악성 파일을 단순히 차단만 한 경우에는 Windows 재부팅시 자동으로 재실행되어 파일 암호화를 수행하므로 반드시 삭제해야 합니다.
(b) 감염된 랜섬웨어(Ransomware) 악성 파일은 Windows 재부팅시 자동으로 재실행되어 파일 암호화를 하도록 구성될 수 있으므로 Sysinternals Autoruns 도구를 다운로드하여 압축 해제 후 Autoruns.exe 파일을 "관리자 권한으로 실행"하시기 바랍니다.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(c) 실행된 Sysinternals Autoruns 도구는 자동으로 스캔(Scan)이 이루어지며 "Logon" 탭을 선택하여 (a) 단계에서 삭제한 파일이 등록된 시작 프로그램(Run) 등록값에 추가된 문자열을 찾아 삭제(Delete)하시기 바랍니다.(※ 삭제된 파일은 노란색으로 표시되므로 찾기 쉬우며, 일반적으로 Run 항목에 등록되는 경향이 강합니다.)
위와 같은 일련의 과정을 통해 AhnLab V3 365 Clinic 보안 제품에서는 진단되지 않는 랜섬웨어(Ransomware) 악성코드 감염시 랜섬웨어 차단이 가능하게 되었으며, 사용자는 진단 로그 정보를 확인하여 악성 파일을 찾아 삭제하시면 됩니다.
참고로 랜섬웨어(Ransomware) 악성코드 감염자 대부분은 스팸(Spam) 메일 첨부 파일 실행 또는 보안 패치가 제대로 이루어지지 않은 PC를 이용하여 악의적으로 조작된 웹 사이트에 단순히 접속하는 행위만으로 자동으로 감염될 수 있습니다.
그러므로 게시글에서 안내하는 랜섬웨어(Ransomware) 악성코드 감염 예방법을 확인하여 보안 업데이트를 이루어졌는지 점검해 보시기 바랍니다.
■ AhnLab V3 365 Clinic 랜섬웨어 차단 기능 오진 문제
AhnLab V3 365 Clinic 보안 제품에 추가된 랜섬웨어 차단 기능은 업데이트 이후 정상적인 소프트웨어 동작시 오진하는 문제가 있었습니다.
대표적으로 Oracle VM VirtualBox 가상화 프로그램이 특정 동작시, 배틀넷(Battle.net) 설치시, 알툴바(ALToolbar)가 설치된 환경에서 웹 브라우저를 이용하여 인터넷 접속시 등의 행위시 랜섬웨어 차단이 이루어지는 문제가 있었습니다.
해당 문제 일부는 추가적인 업데이트(AhnLab V3 365 Clinic 3.1.3.5 (Build 403) → AhnLab V3 365 Clinic 3.1.4.1 (Build 404))를 통해 해결되었다고 밝히고 있습니다.
그러므로 AhnLab V3 365 Clinic 유료 버전(※ AhnLab V3 Internet Security 9.0 기업용 제품에는 현재 적용되지 않은 것으로 보입니다.) 사용자는 랜섬웨어 차단창이 뜰 경우 당황하지 마시고 보안 가이드를 참고하여 악성 파일을 제거하시기 바랍니다.