체크멀(CheckMAL) 보안 업체에서 랜섬웨어(Ransomware) 사전 방어 및 자동 복구, 멀티 엔진, 자동 백업(유료) 기능이 통합된 앱체크 프로(AppCheck Pro) 랜섬웨어 백신을 공식 출시하였습니다.

이미 2015년 11월부터 오픈 베타 방식으로 누구나 무료로 사용할 수 있도록 제공하고 있었던 앱체크(AppCheck) 랜섬웨어 백신은 랜섬웨어(Ransomware)에 대응할 수 있는 랜섬가드와 50여종의 멀티 엔진을 이용한 악성 파일 차단 기능이 포함되어 있었습니다.

기본 기능인 랜섬웨어 행위 차단과 랜섬웨어 대피소는 타 보안 솔루션에 추가된 랜섬웨어 차단 기능과는 다르게 암호화된 파일을 자동으로 복구할 수 있는 랜섬웨어 대피소 기능을 통해 일부 훼손된 파일 복구 또는 차단하지 못하는 랜섬웨어 감염으로부터 원본 파일을 안전하게 지켜주는 역할을 수행합니다.

 

게다가 50여종의 백신 엔진을 통해 악성 파일 실행시 자동으로 차단하여 바이러스(Virus), 트로이목마(Trojan), 백도어(Backdoor), 애드웨어(Adware) 등의 악성코드 뿐 아니라 광고 프로그램과 같은 불필요한 프로그램(PUP)도 차단할 수 있기에 평소 사용하던 백신 프로그램과 함께 사용하시면 더욱 안전하게 PC를 보호할 수 있습니다.

특히 앱체크 프로(AppCheck Pro) 랜섬웨어 백신에서는 사용자가 지정한 폴더를 주기적으로 자동 백업 폴더<AutoBackup(AppCheck)>에 파일 히스토리 방식으로 백업하여 랜섬웨어(Ransomware) 감염과 같은 상황에서도 폴더 보호 기능을 통해 안전하게 백업이 유지되는 자동 백업 기능을 추가하였습니다.

현재 2016년 3월 31일까지 최대 30% 할인 판매가 이루어지고 있으므로, 랜섬웨어(Ransomware) 악성코드로 인하여 파일 암호화 위협으로 걱정하시는 분들은 앱체크 프로(AppCheck Pro) 랜섬웨어 백신으로 보호하시기 바랍니다.

 

참고로 기존에 기업, 학교, 공공 기관에서 앱체크(AppCheck) 랜섬웨어 백신을 무료로 사용하시던 곳에서는 더 이상 무료 사용을 할 수 없으므로 정품 구매를 통해 이용하시기 바랍니다.

 

■ .mp3 파일 확장명으로 암호화를 수행하는 TeslaCrypt 랜섬웨어에 대응하는 앱체크(AppCheck) 랜섬웨어 백신 정보

최근 다양한 Exploit Kit (EK)을 통해 악의적으로 변조된 웹 사이트를 방문하는 사용자 중에서 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염될 수 있는 TeslaCrypt 랜섬웨어(Ransomware)가 문서, 사진 등의 중요 파일을 .mp3 파일 확장명으로 암호화를 시도하는 새로운 변종이 발견되었습니다.

 

취약점(Exploit)을 통해 자동 다운로드되어 실행된 악성 파일(SHA-1 : dd5ebd1402f7daf9dbbed8902342d8c41e77493c - AhnLab V3 : Trojan/Win32.Upbot.C1326810)은 기존의 랜섬웨어 악성코드와는 다르게 문서 라이브러리 폴더에 자신을 생성합니다.

 

생성 파일 진단 정

 

 C:\Users\(사용자 계정)\Documents\juhibgplt.exe :: 숨김(H) 속성, 시작 프로그램(v23-deadbeef) 등록, 파일 암호화 기능
 - SHA-1 : dd5ebd1402f7daf9dbbed8902342d8c41e77493c
 - AhnLab V3 : Trojan/Win32.Upbot.C1326810, Kaspersky : Trojan-Ransom.Win32.Bitman.iza

 

 C:\Users\(사용자 계정)\Documents\mqcxx.exe 또는 wyhhy.exe :: "VSS (표시 이름 : Volume Shadow Copy)" 서비스 삭제 기능<실행시마다 랜덤 파일 생성>
 - SHA-1 : d880915f78361db3b15ff18b0d3239a5d2a6a997
 - AhnLab V3 : Trojan/Win32.ShadowDeleter.R174341, 알약(ALYac) : Trojan.ShadowDeleter

 

 

최종 파일은 문서 라이브러리 폴더에 자신을 랜덤한 파일명으로 복사(juhibgplt.exe) 및 실행한 후 추가적인 파일(mqcxx.exe)을 생성하여 "Microsoft(R) 볼륨 섀도 복사본 서비스용 명령줄 인터페이스" 파일을 실행하도록하여 다음과 같은 명령어를 수행합니다.

  • "C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet

수행된 명령어는 최종적으로 Windows 운영 체제의 "VSS (표시 이름 : Volume Shadow Copy)" 서비스 기능을 무력화하여 시스템 복원 및 백업 기능을 통해 암호화된 파일을 복구할 수 없도록 합니다.

이후 문서, 사진, 동영상, 음악 등의 중요 개인 파일을 .mp3 파일 확장명으로 암호화를 수행하며, 다양한 폴더 위치에 비트코인(Bitcoin) 가상 화폐를 통한 입금을 요구하는 협박 메시지를 생성합니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rrabt.html
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rrabt.png
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rrabt.txt

특히 시작프로그램 폴더 영역에 html, png, txt 형태의 협박 메시지를 추가하여 Windows 부팅시마다 자동으로 실행되도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - v23-deadbeef = C:\Users\(사용자 계정)\Documents\juhibgplt.exe

또한 Windows 시작시마다 시작 프로그램 레지스트리 영역에 파일 암호화 기능을 수행하는 악성 파일을 추가하여 자동 실행하도록 구성되어 있습니다.

 

기존에 나온 대부분의 랜섬웨어 악성코드는 1개의 파일로 모든 기능을 수행하였다면 이번에 등장한 변종은 일부 백신 프로그램에서 VSS 서비스를 건드리는 행위를 감시하여 랜섬웨어를 행위를 차단하는 부분을 우회할 목적으로 2개의 파일로 역할을 분리하고 있다는 점에서 차후 나오는 랜섬웨어 변종은 점점 복잡해질 가능성이 매우 높습니다.

앱체크(AppCheck) 랜섬웨어 백신의 경우에는 .mp3 확장명으로 변경하는 TeslaCrypt 랜섬웨어 변종과 관계없이 랜섬웨어 행위를 탐지하여 차단하고 있으며, 일부 훼손된 파일의 자동 복구 및 협박 메시지조차 자동으로 삭제하는 모습을 확인할 수 있습니다.

 

 

그러므로 현재 설치되어 있는 백신 프로그램과 함께 앱체크(AppCheck) 랜섬웨어 백신을 함께 사용하신다면 랜섬웨어(Ransomware)로 인한 파일 암호화 위협으로부터 안전하게 데이터를 보호할 수 있으므로 주저하지 마시고 설치하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..