본문 바로가기

벌새::Software

랜섬웨어 차단 기능이 추가된 AhnLab V3 365 Clinic 업데이트 소식 (2015.12.23)

(주)안랩(AhnLab, Inc.) 보안 업체에서 문서, 사진, 동영상, 음악 등 개인 파일을 암호화하여 금전 협박을 하는 랜섬웨어(Ransomware) 악성코드 차단 목적으로 AhnLab V3 365 Clinic 유료 제품에 "랜섬웨어 차단 사용" 기능을 추가하였다는 소식입니다.

이번 업데이트를 통해 AhnLab V3 365 Clinic 환경 설정의 "고급 설정 → 랜섬웨어" 항목에서는 기본값으로 "랜섬웨어 차단 사용" 기능이 활성화 되었으며, 해당 기능은 반드시 "네트워크 → 침입 차단 → 행위 기반 침입 차단" 기능을 사용해야 정상적으로 동작한다고 밝히고 있습니다.

현재 랜섬웨어(Ransomware) 악성코드에 감염될 경우 AhnLab V3 보안 제품에서는 행위 기반 차단을 통해 미끼(Decoy) 파일 변경 시도 탐지 행위에 대하여 Malware/MDP.Manipulate.M907 진단명과 같은 방식으로 차단할 수 있었습니다.

 

하지만 행위 기반을 우회할 경우를 대비하여 이번에 새롭게 추가된 랜섬웨어 차단 기능은 어떻게 동작하며 사용자가 추가적으로 수행해야하는 대응 방법에 대해 살펴보도록 하겠습니다.

 

테스트에서는 AhnLab V3 보안 제품의 진단을 우회하는 랜섬웨어(Ransomware) 변종을 통해 정상적으로 악성 파일이 감염되어 파일 암호화를 수행하는 경우를 가정하였으며, 새롭게 추가된 랜섬웨어 차단 기능을 통해 "랜섬웨어 차단" 경고창을 생성하는 모습을 확인할 수 있습니다.

해당 랜섬웨어 차단 메시지 창의 내용을 해석해보면 악성 파일이 실행되어 "C:\Windows\SysWOW64\svchost.exe" 시스템 파일(정상 파일)에 인젝션되어 정상적인 파일을 암호화(m79r6r81dn.7r69a)를 수행하는 시점에서 svchost.exe 프로세스를 차단한 모습입니다.

 

위와 같은 랜섬웨어 차단 메시지에서 주목할 점은 "랜섬웨어 보안 가이드" 버튼을 통해 안랩(AhnLab)에서 안내하는 수동 조치 방법을 참고하여 악성 파일을 사용자가 직접 제거하도록 안내하고 있으며, 해당 차단창은 단순히 암호화를 중단하였을 뿐 악성 파일이 자동으로 삭제된 것을 의미하는 것은 아닙니다.(※ 일부 랜섬웨어는 차단 후 자동으로 삭제 처리될 수 있습니다.)

 

■ 울지않는벌새 블로그의 AhnLab V3 365 Clinic 보안 제품 랜섬웨어(Ransomware) 대응 가이드

안랩(AhnLab) 보안 업체에서 제공하는 랜섬웨어 보안 가이드는 매우 복잡하고 이해하기 어렵다는 점에서 개인적으로 블로그를 통해 랜섬웨어(Ransomware) 제거 방법을 안내하였기에 관련 내용을 기반으로 AhnLab V3 365 Clinic 제품을 통한 대응 가이드를 정리해 보았습니다.

(a) AhnLab V3 365 Clinic 보안 제품이 랜섬웨어 차단창을 생성할 경우 "도구 → 로그 → 진단 로그" 메뉴를 실행하여 확인해보면 악성 프로그램 실행을 통해 "C:\Windows\SysWOW64\svchost.exe" 프로세스(정상 파일)로 파일 암호화를 진행하는 과정에서 랜섬웨어 행위 차단이 이루어졌음을 알 수 있습니다.

 

해당 로그에서는 차단된 프로세스가 아닌 탐지된 AhnLab V3 보안 제품에서 진단하지 못하는 악성 프로그램의 경로(대상)를 확인하여 파일(d038c103a4.exe)을 찾아 직접 삭제해야 합니다.

 

만약 해당 악성 파일을 단순히 차단만 한 경우에는 Windows 재부팅시 자동으로 재실행되어 파일 암호화를 수행하므로 반드시 삭제해야 합니다.

(b) 감염된 랜섬웨어(Ransomware) 악성 파일은 Windows 재부팅시 자동으로 재실행되어 파일 암호화를 하도록 구성될 수 있으므로 Sysinternals Autoruns 도구를 다운로드하여 압축 해제 후 Autoruns.exe 파일을 "관리자 권한으로 실행"하시기 바랍니다.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(c) 실행된 Sysinternals Autoruns 도구는 자동으로 스캔(Scan)이 이루어지며 "Logon" 탭을 선택하여 (a) 단계에서 삭제한 파일이 등록된 시작 프로그램(Run) 등록값에 추가된 문자열을 찾아 삭제(Delete)하시기 바랍니다.(※ 삭제된 파일은 노란색으로 표시되므로 찾기 쉬우며, 일반적으로 Run 항목에 등록되는 경향이 강합니다.)

 

위와 같은 일련의 과정을 통해 AhnLab V3 365 Clinic 보안 제품에서는 진단되지 않는 랜섬웨어(Ransomware) 악성코드 감염시 랜섬웨어 차단이 가능하게 되었으며, 사용자는 진단 로그 정보를 확인하여 악성 파일을 찾아 삭제하시면 됩니다.

 

참고로 랜섬웨어(Ransomware) 악성코드 감염자 대부분은 스팸(Spam) 메일 첨부 파일 실행 또는 보안 패치가 제대로 이루어지지 않은 PC를 이용하여 악의적으로 조작된 웹 사이트에 단순히 접속하는 행위만으로 자동으로 감염될 수 있습니다.

그러므로 게시글에서 안내하는 랜섬웨어(Ransomware) 악성코드 감염 예방법을 확인하여 보안 업데이트를 이루어졌는지 점검해 보시기 바랍니다.

 

■ AhnLab V3 365 Clinic 랜섬웨어 차단 기능 오진 문제

AhnLab V3 365 Clinic 보안 제품에 추가된 랜섬웨어 차단 기능은 업데이트 이후 정상적인 소프트웨어 동작시 오진하는 문제가 있었습니다.

대표적으로 Oracle VM VirtualBox 가상화 프로그램이 특정 동작시, 배틀넷(Battle.net) 설치시, 알툴바(ALToolbar)가 설치된 환경에서 웹 브라우저를 이용하여 인터넷 접속시 등의 행위시 랜섬웨어 차단이 이루어지는 문제가 있었습니다.

 

해당 문제 일부는 추가적인 업데이트(AhnLab V3 365 Clinic 3.1.3.5 (Build 403) → AhnLab V3 365 Clinic 3.1.4.1 (Build 404))를 통해 해결되었다고 밝히고 있습니다.

 

그러므로 AhnLab V3 365 Clinic 유료 버전(※ AhnLab V3 Internet Security 9.0 기업용 제품에는 현재 적용되지 않은 것으로 보입니다.) 사용자는 랜섬웨어 차단창이 뜰 경우 당황하지 마시고 보안 가이드를 참고하여 악성 파일을 제거하시기 바랍니다.

  • 괞찮은 기능인것같습닏ᆞ

  • 비밀댓글입니다

    • 광고를 노출하는 프로그램을 사용하면서 해결 방법을 찾으시는 것은 모순입니다. 프로그램 사용을 하지 않는 것 외에는 방법이 없습니다.

  • 행위기반 탐지기능과 무엇이 다른지 모르겠어요 ㅜㅜ 행위기반에 추가하면 되는거 아닌가요??

  • 아하 감사합니다
    정확히는 모르겠지만
    행위기반은 악성행위를 하는 프로그램을 악성코드로 간주하고 진단/치료(삭제)하는 반면
    랜섬방어기능은 혹여 행위기반에서 놓쳐서
    랜섬웨어를 진단하지는 못했지만
    랜섬웨어가 파일을 암호화 하는걸 차단해 주는거 이런식인가요??
    그럼 무료버전에도 행위기반이 있으니 거의 걸러질려나요??

    • 엄밀히 말해서 사실 이런 기능없어도 V3에서는 사실 랜섬웨어 거의 감염 안될 수 있습니다.

      단지 사용자들이 V3 설치하고 기본 옵션으로 사용하니 감염이 되는겁니다.

      옵션에서 클라우드 평판 기반 차단 수준(높음), 고급 설정 클라우드 진단 수준(높음)으로만 설정해도 랜섬웨어 최초 실행시 실행 여부를 묻는 평판창이 떠서 금새 눈치챌 수 있습니다.

  • 나그네 2015.12.23 21:46 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 설정을 변경해야겠군요

    MDP도 행위기반진단으로 랜섬을 막을수있다고하고
    랜섬웨어방어기능도 행위기반 진단으로 막는다하고 어렵네요 ㅠㅠ
    혹시 두가지 기능의 차이점을 아시나요??

    • MDP는 행위 기반으로 특정 행위가 발생하면 차단을 하는 원리입니다.

      이번에 추가된 랜섬웨어 차단 기능은 기존에 나온 랜섬웨어 특유의 행위에 대한 더 많은 차단 규칙을 적용한게 아닌가 싶습니다.

  • 개인에 한해 무료로 제공되는 V3 라이트에도 추가되었으면 하는 바람입니다.