하우리(Hauri) 보안 업체에서는 2016년 6월 3일(금) ~ 2016년 6월 7일(화)까지 뽐뿌 커뮤니티 접속하여 특정 광고 배너에 노출될 경우 CryptXXX 랜섬웨어(Ransomware)에 자동 감염되는 보안 사고가 발생하였다고 밝히고 있습니다.
실제 뽐뿌 접속자 중 보안 업데이트가 제대로 이루어지지 않은 Adobe Flash Player, Windows, 웹 브라우저 사용자 중 백신에 의한 차단이 이루어지지 않았을 경우 문서, 사진, 음악, 동영상, 압축 등의 중요 파일이 .crypz 파일 확장명으로 암호화가 이루어지는 피해가 발생한 사례가 올라오고 있습니다.
이미 2015년 4월 21일경 클리앙 커뮤니티를 통해 유포된 Crypt0L0cker 랜섬웨어로 인해 큰 피해가 발생하였으며, 이번에도 취약점(Exploit)을 이용한 유포가 발생하였는데 여전히 많은 인터넷 사용자들은 보안 업데이트에 관심이 없으며 피해를 입은 후에는 타인만을 탓하는 분위기입니다.
CryptXXX 랜섬웨어의 변화를 살펴보면 ".crypt → .crypt1 → .crypz" 파일 확장명으로 변화를 주고 있으며 이번에 유포된 CryptXXX 3.2 버전의 경우에는 사실상 완벽한 복구툴 개발이 어렵다는 점에서 감염이 되지 않도록 각별한 보안 조치가 필요합니다.
CryptXXX 랜섬웨어의 동작 방식을 살펴보면 임시 폴더(%Temp%)에 랜덤(Random)한 악성 DLL 파일을 생성하며, DLL 파일을 실행하기 위하여 rundll32.exe 시스템 파일(Windows 호스트 프로세스(Rundll32))을 자신의 위치로 복사하여 explorer.exe 파일명으로 변경하여 로딩되도록 구성되어 있습니다.
"CommandLine":"C:\Users\(로그인 계정명)\AppData\Local\Temp\explorer.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\rad15B86.tmp.dll,XXS3S"
실행된 explorer.exe 프로세스는 하드 디스크, 외장 하드, USB 드라이브, 네트워크 공유 폴더를 대상으로 문서, 사진, 압축, 음악, 동영상 파일 등에 대해 .crypz 파일 확장명으로 암호화를 수행합니다.
참고로 암호화 과정에서는 자신의 기능을 중지하지 못하도록 작업 관리자(Taskmgr.exe), 명령 프롬프트(cmd.exe)를 실행하지 못하게 차단합니다.
파일 암호화가 완료된 후에는 즉시 Windows 화면 전체를 랜섬웨어 메시지로 덮어서 악성 DLL 파일을 수집하지 못하도록 방해하며 사용자가 강제로 Windows 재부팅을 진행하도록 만듭니다.
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!90A75BBB7462.lnk → C:\Users\(로그인 계정명)\AppData\Local\Temp\explorer.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\7530.tmp.dll,XXS3S
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!90A75BBB7462B.lnk → C:\ProgramData\!90A75BBB7462.bmp
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!90A75BBB7462H.lnk → C:\ProgramData\!90A75BBB7462.html
Windows 재부팅 후에는 시작프로그램 폴더(Startup) 영역에 등록된 !90A75BBB7462.lnk 바로가기 값을 통해 파일 암호화가 완료되지 않았을 경우 자동으로 재실행되도록 구성되어 있으며, 만약 최초 감염 시 파일 암호화가 완료된 후에는 DLL 악성 파일이 자동 삭제되어 더 이상 동작하지 않습니다.
또한 Windows 부팅 시 그림 파일(C:\ProgramData\!90A75BBB7462.bmp)과 웹 페이지 파일(C:\ProgramData\!90A75BBB7462.html)을 자동 실행하여 파일 복호화를 위한 안내 메시지를 표시하며, 바탕 화면 배경을 "C:\ProgramData\!90A75BBB7462.bmp" 그림 파일로 변경하여 표시합니다.
즉, CryptXXX 랜섬웨어 감염 이후 대상 파일들이 암호화가 완료된 후에는 악성 파일 자체는 자동 삭제되어 추가적인 암호화는 이루어지지 않는다고 보시는 것이 정확합니다.
■ CryptXXX 3.x 버전용 랜섬웨어 복구 방법
앞서 언급한 것처럼 CryptXXX 랜섬웨어를 완벽하게 복구할 수 있는 복구툴 제작은 어려우며, 현재 안랩(AhnLab)에서는 매우 제한적인 부분 복구툴을 제작하여 배포하기 시작하였으므로 관련 조건을 잘 확인하시고 이용해 보시기 바랍니다.
■ AppCheck 안티랜섬웨어를 이용한 CryptXXX 및 다양한 랜섬웨어 대응 방법
현재 유포되는 랜섬웨어 및 가까운 미래에 제작되어 유포될 수 있는 랜섬웨어(Ransomware)는 유포 초기에는 백신 진단이 제대로 이루어지지 않는 문제로 암호화로 인한 피해가 지속적으로 발생할 수 있습니다.
그러므로 백신에서 차단하지 못한 랜섬웨어로 인한 파일 암호화 행위를 사전 차단하고 일부 암호화된 파일을 자동 복원할 수 있는 AppCheck 안티랜섬웨어 제품을 함께 사용하여 피해를 예방하시기 바랍니다.
실제로 CryptXXX 3.2 버전(.crypz)에 감염될 경우 AppCheck 안티랜섬웨어 제품은 효과적으로 암호화 행위를 차단하며, 보호 대상 파일 중 훼손된 파일을 자동 복원하여 데이터를 보호하는 모습을 보여주고 있습니다.
특히 AppCheck Pro 제품은 CryptXXX 랜섬웨어의 파일 암호화 행위를 차단하지 못하도록 지속적으로 재활성화되는 Watchdog 기능을 무력화하여 빠르고 안전하게 파일을 보호하고 있습니다.
단지 AppCheck 안티랜섬웨어 무료 버전 사용자의 경우에는 반복적으로 재실행되는 CryptXXX 랜섬웨어로 인해 반복적인 차단 과정에서 파일 암호화가 이루어지는 경우가 있습니다.
앱체크(AppCheck) 무료 버전 사용자의 경우에는 반복적인 차단 행위가 발생할 경우 빠르게 파일 암호화 행위를 수행하는 explorer.exe 파일을 찾아 확장명을 변경하는 방식으로 프로세스 종료를 시킬 수 있으므로 참고하시기 바랍니다.
만약 앱체크(AppCheck) 사용자 중에서 랜섬웨어에 의해 암호화된 파일은 각 드라이브별로 생성되는 랜섬웨어 대피소(Backup(AppCheck)) 폴더에서 원본 파일을 쉽게 복구할 수 있도록 지원하고 있습니다.
그러므로 이번과 같이 대규모 회원을 보유하고 있는 뽐뿌 랜섬웨어 유포 사고와 같은 일이 또 다시 발생할 수도 있다는 점에서 백신과 함께 랜섬웨어 차단 기능을 제공하는 AppCheck 안티랜섬웨어 제품을 함께 사용하시기 바랍니다.