(주)이스트소프트(ESTsoft) 업체에서 제공하는 알약(ALYac) 무료 백신에 랜섬웨어(Ransomware) 악성코드 감염을 통해 파일 암호화가 발생할 경우 자동으로 차단하는 "랜섬웨어 차단" 기능이 추가되었습니다.

추가된 랜섬웨어 차단 기능은 알약(ALYac) 무료 백신에서 진단할 수 없는 랜섬웨어(Ransomware) 악성코드에 감염된 후 사용자 파일(문서, 동영상, 사진, 음악 등)이 암호화되는 것을 방지하는 기능을 제공합니다.

실제 랜섬웨어(Ransomware) 악성코드를 이용하여 테스트를 진행해보면 파일 암호화를 진행하는 의심 행위가 발견될 경우 "랜섬웨어 차단 알림" 창을 생성하여 악성 파일(dianu-a.exe)을 차단하는 것을 알 수 있습니다.

 

특히 알림창에서는 의심 파일을 알약(ALYac) 보안 업체로 자동으로 전송하도록 "신고하기" 버튼을 제시하고 있으므로 클릭하여 빠른 진단 추가가 이루어지도록 협조하시기 바랍니다.

이번 알약(ALYac) 무료 백신에 추가된 랜섬웨어 차단 기능은 각 드라이브별로 숨김(H) 속성값을 가지는 "C:\@$htY 또는 D:\@$htY" 폴더(※ 폴더 이름은 다양하게 추가)를 생성하며, 폴더 내부에는 4종의 미끼 파일(document.doc / hancom.hwp / image.jpg / Text.txt)이 추가되어 있습니다.

내부 파일을 확인해보면 "이 파일은 알약에서 랜섬웨어 방지를 위해 생성한 파일입니다. 파일을 삭제 또는 수정하지 말아주시기 바랍니다."라는 메시지가 포함되어 있습니다.

 

즉, 알약(ALYac) 랜섬웨어 차단 기능은 미끼 파일을 통해 파일 암호화를 탐지하여 차단을 하는 구조이므로 해당 폴더는 삭제하거나 변경하지 않도록 하시기 바랍니다.

 

알약(ALYac) 랜섬 차단 기능 역시 암호화 행위는 차단할 수 있지만 진단되지 않는 악성 파일은 실시간으로 제거하지 못하므로 사용자가 직접 파일을 찾아 삭제해야 합니다.(※ 일정 수준의 지식이 없는 경우에는 신고 기능을 통해 접수된 악성 파일을 알약(ALYac) 백신에서 진단할 때까지 기다리시기 바랍니다.)

삭제를 위해서는 알약(ALYac) 보안 통계 메뉴의 "알약 로그 → 이벤트 로그" 항목에 표시된 "랜섬웨어 의심 행위 차단" 이벤트 내용을 참고하여 차단된 악성 파일의 경로를 확인하여 삭제하시기 바라며, 나머지 자동 실행값은 AhnLab V3 365 Clinic 보안 제품의 랜섬웨어 차단 기능에 소개한 Sysinternals Autoruns 도구를 활용하여 레지스트리 값을 제거하시기 바랍니다.(※ 다수의 랜섬웨어(Ransomware) 악성코드는 정상적인 시스템 파일을 로딩하여 파일 암호화를 수행하므로 파일 삭제시 정상적인 시스템 파일을 제거하지 않도록 주의하시기 바랍니다.)

 

■ 알약(ALYac) 미끼 파일 접근 주의

알약(ALYac) 랜섬웨어 차단 기능을 위해 추가된 폴더(C:\@$htY)에 추가된 문서 파일을 사용자가 오픈할 경우 랜섬웨어 차단 알림창을 통해 정상적인 문서 프로그램이 차단되는 문제가 발생할 수 있습니다.

특히 랜섬웨어 차단시 스레드(Thread)를 종료하기 때문에 문서 프로그램의 프로세스는 종료되지 않으며, 이로 인하여 일시적으로 문서 프로그램을 재실행하여도 정상적으로 동작하지 않는 문제가 발생할 수 있으므로 해당 폴더 내에 있는 파일은 건드리지 마시기 바랍니다.

개인적으로 알약(ALYac) 랜섬웨어 차단 기능은 AhnLab V3 보안 제품의 행위 기반 차단(MDP)을 통해 진단되지 않는 랜섬웨어(Ransomware) 악성코드 실행시 차단되는 "미끼(Decoy) 파일 변경 시도 탐지 행위" 수준으로 보이지만, 오늘 유포된 것으로 보고된 알약(ALYac) 백신에서 진단되지 않는 랜섬웨어 파일(SHA-1 : 0891b0e404c6b617b91dcff97ce6b8d7efdc903a)에 대해 효과적으로 차단을 하는 모습을 확인할 수 있었습니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..