본문 바로가기

벌새::Software

랜섬웨어 차단 알림 기능이 추가된 알약(ALYac) 무료 백신 (2015.12.23)

(주)이스트소프트(ESTsoft) 업체에서 제공하는 알약(ALYac) 무료 백신에 랜섬웨어(Ransomware) 악성코드 감염을 통해 파일 암호화가 발생할 경우 자동으로 차단하는 "랜섬웨어 차단" 기능이 추가되었습니다.

추가된 랜섬웨어 차단 기능은 알약(ALYac) 무료 백신에서 진단할 수 없는 랜섬웨어(Ransomware) 악성코드에 감염된 후 사용자 파일(문서, 동영상, 사진, 음악 등)이 암호화되는 것을 방지하는 기능을 제공합니다.

실제 랜섬웨어(Ransomware) 악성코드를 이용하여 테스트를 진행해보면 파일 암호화를 진행하는 의심 행위가 발견될 경우 "랜섬웨어 차단 알림" 창을 생성하여 악성 파일(dianu-a.exe)을 차단하는 것을 알 수 있습니다.

 

특히 알림창에서는 의심 파일을 알약(ALYac) 보안 업체로 자동으로 전송하도록 "신고하기" 버튼을 제시하고 있으므로 클릭하여 빠른 진단 추가가 이루어지도록 협조하시기 바랍니다.

이번 알약(ALYac) 무료 백신에 추가된 랜섬웨어 차단 기능은 각 드라이브별로 숨김(H) 속성값을 가지는 "C:\@$htY 또는 D:\@$htY" 폴더(※ 폴더 이름은 다양하게 추가)를 생성하며, 폴더 내부에는 4종의 미끼 파일(document.doc / hancom.hwp / image.jpg / Text.txt)이 추가되어 있습니다.

내부 파일을 확인해보면 "이 파일은 알약에서 랜섬웨어 방지를 위해 생성한 파일입니다. 파일을 삭제 또는 수정하지 말아주시기 바랍니다."라는 메시지가 포함되어 있습니다.

 

즉, 알약(ALYac) 랜섬웨어 차단 기능은 미끼 파일을 통해 파일 암호화를 탐지하여 차단을 하는 구조이므로 해당 폴더는 삭제하거나 변경하지 않도록 하시기 바랍니다.

 

알약(ALYac) 랜섬 차단 기능 역시 암호화 행위는 차단할 수 있지만 진단되지 않는 악성 파일은 실시간으로 제거하지 못하므로 사용자가 직접 파일을 찾아 삭제해야 합니다.(※ 일정 수준의 지식이 없는 경우에는 신고 기능을 통해 접수된 악성 파일을 알약(ALYac) 백신에서 진단할 때까지 기다리시기 바랍니다.)

삭제를 위해서는 알약(ALYac) 보안 통계 메뉴의 "알약 로그 → 이벤트 로그" 항목에 표시된 "랜섬웨어 의심 행위 차단" 이벤트 내용을 참고하여 차단된 악성 파일의 경로를 확인하여 삭제하시기 바라며, 나머지 자동 실행값은 AhnLab V3 365 Clinic 보안 제품의 랜섬웨어 차단 기능에 소개한 Sysinternals Autoruns 도구를 활용하여 레지스트리 값을 제거하시기 바랍니다.(※ 다수의 랜섬웨어(Ransomware) 악성코드는 정상적인 시스템 파일을 로딩하여 파일 암호화를 수행하므로 파일 삭제시 정상적인 시스템 파일을 제거하지 않도록 주의하시기 바랍니다.)

 

■ 알약(ALYac) 미끼 파일 접근 주의

알약(ALYac) 랜섬웨어 차단 기능을 위해 추가된 폴더(C:\@$htY)에 추가된 문서 파일을 사용자가 오픈할 경우 랜섬웨어 차단 알림창을 통해 정상적인 문서 프로그램이 차단되는 문제가 발생할 수 있습니다.

특히 랜섬웨어 차단시 스레드(Thread)를 종료하기 때문에 문서 프로그램의 프로세스는 종료되지 않으며, 이로 인하여 일시적으로 문서 프로그램을 재실행하여도 정상적으로 동작하지 않는 문제가 발생할 수 있으므로 해당 폴더 내에 있는 파일은 건드리지 마시기 바랍니다.

개인적으로 알약(ALYac) 랜섬웨어 차단 기능은 AhnLab V3 보안 제품의 행위 기반 차단(MDP)을 통해 진단되지 않는 랜섬웨어(Ransomware) 악성코드 실행시 차단되는 "미끼(Decoy) 파일 변경 시도 탐지 행위" 수준으로 보이지만, 오늘 유포된 것으로 보고된 알약(ALYac) 백신에서 진단되지 않는 랜섬웨어 파일(SHA-1 : 0891b0e404c6b617b91dcff97ce6b8d7efdc903a)에 대해 효과적으로 차단을 하는 모습을 확인할 수 있었습니다.

  • 우호성 2015.12.23 20:33 댓글주소 수정/삭제 댓글쓰기

    (오늘 유포된 것으로 보고된)랜섬웨어는 AppCheck보조 백신를 이용 하면 차단 되는지요.
    V3 Lite 사용자 입니다.

  • V3 lite도 미끼(Decoy) 파일 변경 시도 탐지 행위
    로 차단할수 있나요??
    유료버전과 방화벽,pup를 제외하고 기본적인 진단성능의 차이는 없나요??
    V3의 MDP도 알약처럼 미끼파일을 생성해놓는 방식인가요??

    • V3 Lite에는 기본적으로 행위 기반 차단이 포함되어 있어서 미끼 파일 탐지가 이루어집니다.

      단지 이번에 추가된 유료 제품에 추가된 기능은 더 많은 탐지 방식으로 랜섬웨어를 대응할 수 있을겁니다.

      V3 유료와 무료의 가장 큰 차이는 불필요한 프로그램(PUP)에 대응이 가능하다는게 가장 클겁니다.

      V3에도 미끼 파일을 숨겨둡니다. 단지 알약처럼 그대로 노출되지는 않습니다.

  • 고수분인 벌새님은 어떤 보안관련제품들을 사용하시나요??

    • 저는 V3 365 Clinic + 바이로봇 APT Shield + 앱체크(AppCheck)를 함께 사용합니다. 서로 약한 부분을 보강하는 수준에서 사용하려고 노력합니다.

  • 우호성 2015.12.23 21:20 댓글주소 수정/삭제 댓글쓰기

    Sysinternals Autoruns를 도구 활용하여 노란색으로 표시된것 제거도 했습니다.
    감사합니다.

    • 무조건 삭제하시지 마시고 삭제가 필요한 값만을 제거하시는게 시스템을 안정적으로 사용할 수 있습니다.

      http://hummingbird.tistory.com/6161

      내용처럼 VirusTotal 검사 기능을 이용하시면 제거할 부분에 대해 조금 더 빠르게 판단할 수 있습니다.

  • 김경읍 2015.12.23 21:39 댓글주소 수정/삭제 댓글쓰기

    정보 정말 감사합니다. 오늘 이 폴더를 우연히 발견하고 파일을 삭제하려고 하거나 파일을 읽으려고 하니 알약에서 랜섬웨어 차단으로 막아주더군요.. 그런데 안전모드에서 "랜섬웨어 차단 기능을 위해 추가된 폴더"를 삭제하고 나도 재부팅하면 계속 생기는데,,,어떻게 하는 것이 좋을까요?? 모든 프로그램이 아직 정상이고 파일도 잘열리는데,,참 답답합니다..회사일을 안볼수도 없고,,

    • 해당 폴더는 알약에서 생성한 랜섬웨어 탐지를 위한 폴더이므로 삭제하지 마시기 바랍니다.

      어떤 프로그램을 이용하여 해당 폴더 내부에 있는 파일을 오픈하려고 했는지 모르지만 내부 파일은 그대로 건들지 마시기 바랍니다.

    • 김경읍 2015.12.23 22:23 댓글주소 수정/삭제

      아이고,,,,제가 완전히 잘못이해 했네요. 저는 그 알약에서 랜섬웨어 탐지용으로 만든 폴더가, 랜섬웨어가 만들어논 폴더로 잘못이해했네요,,,,,, 저는 그폴더를 우연히 발견해서 컴퓨터가 문제가 생긴 줄 잘못알았네요,,,,ㅎㅎㅎㅎ,,,제가 이제야 제대로 이해한 것 맞지요?

    • 네~ 오해에서 비롯되어 고생하셨습니다.ㅠㅠ

  • 궁금 2015.12.23 21:39 댓글주소 수정/삭제 댓글쓰기

    v3 365에 안티 익스플로잇 기능이 있어서 관련제품을 사용하지 않아도 된다고 쓰신 글을 본적이 있는데. 그럼에도 별도의 제품을 쓰시는 이유는 무엇인가요??
    좋은하루 보내세요. 감사합니다

  • 궁금 2015.12.23 22:17 댓글주소 수정/삭제 댓글쓰기

    헉 v3의 안티익스플로잇 차단 기술이 부족하군요 ㅠㅠ
    저도 같이 써야겠습니다. 감사합니다

  • 오!
    얼마전에 랜섬웨어 걸려서 눈물 머금고 포맷했는데 알약 새로 설치해야겠네요.
    좋은 정보 감사합니다!

  • 달비 2015.12.24 00:17 댓글주소 수정/삭제 댓글쓰기

    저 폴더가 랜섬웨어 차단시에만 생기는건가요? 알약업데이트햇는데 숨김폴더까지 찾아봐도 저런 비슷한 유형의 폴더가 안보이네요

  • 천둥 2015.12.24 07:31 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    자료 찾을때 인터넷 검색타고 자주 방문하게 됩니다.
    도움 많이 받고 있어서 항상 감사한 마음입니다.

    조금전 내 하드에 이상한 폴더가 발견되어 파일 내용을 보고 이런 업데이트가 되었는지 알았습니다.

    기존 랜섬웨어가 내림차순으로 감염시키는지 각 하드별 최우선 폴더보다 앞서도록 폴더명을 만들더군요.
    그런데 폴더명 첫자만 검사합니다.
    '!!'로 시작하는 폴더가 이미 존재하면 '!@'로 시작되는 폴더보다 앞순이 되어버려 랜섬웨어에 감염될 것입니다.

    우연찮게 제가 각 하드의 자주 찾아야할 폴더 이름 앞에 '!,!~,!!,!!!' 이런식으로 붙입니다.
    그리고 방지 원리가 너무 드러나서 랜섬웨어 개발자가 랜덤으로 감염시키도록 변종을 만들면 난감하겠습니다.
    방지기술이라고 할 수 없는 꼼수...
    하지만 당장은 효과가 있겠습니다.

    자료찾으러 외국사이트도 많이 돌아다니지만 랜섬웨어 구경도 못해봐서 잘 모르나, 인터넷이 시끄러운걸 봐선 참 골치아픈가 봅니다.
    보안에 대하여 잘 모르는 분들이라도 사용자 계정 컨트롤만 제대로 사용만 하면 상당히 효과적인데...
    불편하다고 꺼버리니...
    편하면 보안이 아닌데 말입니다....

    • 아마 이쪽에 대해 지식이 있으신 분 같습니다. 처음 적용된 랜섬웨어 대응 정책인만큼 차후 우회하는 경우가 나오면 계속적으로 변화를 주겠죠.^^

  • 이런 좋은기능이추가되었군요.미끼 파일을 이용하는것보니 나름좋은방법인것같습니다.즐거운 크리스마스보내세요