<p class="MsoNormal"><a></a><a><b><span style="font-size:11pt;">□ 개요</span></b></a><span lang="en-us"><br></span>대형커뮤니티에 감염이 되면서 이슈를 일으켰던 최초의 한글화 랜섬웨어 <span lang="en-us">CryptoWall </span>에 이어 두번째 한글화 랜섬웨어가 나타났다<span lang="en-us">.</span></p><p></p> <p class="MsoNormal">해당 랜섬웨어는 <span lang="en-us">.RRK (</span>변종에 따라 <span lang="en-us">.rmd) </span>확장자로 암호화되며<span lang="en-us"> %Windows% </span>폴더에 <span lang="en-us">directx.exe </span>라는 이름으로 자가 복제하여 실행된다<span lang="en-us">.</span><span lang="en-us"></span></p><p></p> <p align="left" class="MsoNormal"><b><span lang="en-us" style="font-size:11pt;"> </span></b></p> <p align="left" class="MsoNormal"><b><span style="font-size:11pt;">□ 내용<span lang="en-us"></span></span></b></p><p><b></b></p><b></b> <p align="left" class="MsoNormal">해당 악성코드는 다음과 같은 확장자를 암호화한다<span lang="en-us">. 암호화되는 확장자 중에 특이점이 있는데,</span></p> <p align="left" class="MsoNormal">HWP(한글문서파일 확장자) 와 alz(알집압축파일 확장자) 파일이 암호화된다는 점이다. </p> <p align="left" class="MsoNormal" style="text-align:left;">확실히 국내에 대해 조사하고 타겟으로 삼고 있다는 점을 알 수 있다.</p> <p align="left" class="MsoNormal" style="text-align:left;"><br></p> <p style="text-align:left;"><img width="543" height="815" style="border:medium;" alt="2016JanWedCapture2.png" src="http://thimg.todayhumor.co.kr/upfile/201601/1452322835FhyEC1yowQvp44pkGwipr.png"></p> <p style="text-align:left;"><img width="542" height="503" style="border:medium;" alt="2016JanWedcapture3.png" src="http://thimg.todayhumor.co.kr/upfile/201601/1452322858wU7vvhQiKi6XIpM2qrMl3ZeQC6BMXW.png"></p> <p align="left" class="MsoNormal">아래와 같은 명령어를 실행하여 볼륨 섀도우 카피를 삭제한다<span lang="en-us">. </span>이러한 명령어는 윈도우에서 기본적으로 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없게끔 한다<span lang="en-us">.</span></p> <p align="left" class="MsoNormal"><span style="text-align:center;line-height:1.5;">다른 랜섬웨어 악성코드</span><span lang="en-us" style="text-align:center;line-height:1.5;">(Ex. Crpyto-Locker) </span><span style="text-align:center;line-height:1.5;">들에게서도 자주 발견되는 명령어다</span><span lang="en-us" style="text-align:center;line-height:1.5;">.</span></p> <p align="left" class="MsoNormal"><span lang="en-us" style="text-align:center;line-height:1.5;"><br></span></p><span lang="en-us" style="text-align:center;line-height:1.5;"> </span><p style="text-align:left;"><img width="630" height="42" style="border:medium;" alt="2016JanWedCapture1.png" src="http://thimg.todayhumor.co.kr/upfile/201601/1452322886c4YdIQ1rYkiIJQgdOrksOCDxyf.png"></p> <p style="text-align:left;"><br></p> <p align="left" class="MsoNormal">해당 악성코드가 실행되고 암호화가 끝나면 바탕화면에 <span lang="en-us">YOUR_FILES.url </span>이라는 파일을 생성하고 <span lang="en-us"></span></p><p></p> <p align="left" class="MsoNormal">자동으로 파일이 열리는데 다음과 같은 화면이 나온다<span lang="en-us">.</span></p> <p align="left" class="MsoNormal"><span lang="en-us"><br></span></p><span lang="en-us"> </span><p style="text-align:left;"><img width="600" height="179" style="border:medium;" alt="2016JanWedCapture.png" src="http://thimg.todayhumor.co.kr/upfile/201601/145232290699K1VOQZXGcAbfF666Eda4kCdCMTs.png"></p> <p align="left" class="MsoNormal">해당 악성코드에서 주목할 만한 점은 무려<span lang="en-us"> 11</span>개국의 언어를 지원한다는 점이다<span lang="en-us">.</span></p><p></p> <p align="left" class="MsoNormal">물론 번역기를 통한 자동번역 이지만 <span style="background:#FFFFFF;">미국<span lang="en-us">, </span>독일<span lang="en-us">, </span>폴란드<span lang="en-us">, </span>프랑스<span lang="en-us">, </span>이탈리아<span lang="en-us">, </span>스페인<span lang="en-us">, </span>베트남<span lang="en-us">, </span>러시아<span lang="en-us">, </span>터키<span lang="en-us">, </span>대만<span lang="en-us">, </span>한국</span>의<span lang="en-us"> 11</span>개국 언어를 지원한다는 점에서 타겟이 굉장히 다양한 걸 알 수 있고<span lang="en-us">, </span>아시아권의 타겟이 늘었다는 것도 특이점이라고 볼 수 있다<span lang="en-us">.</span><span lang="en-us"> </span></p><p></p> <p align="left" class="MsoNormal">다른 특이점으로는 요즘 유행하는 <span lang="en-us">CryptoWall, TeslaCrypt </span>와는 달리<span lang="en-us"> AES-256 </span>이라는 암호화기법을 이용하여 암호화 한다는 점 등을 특이사항으로 꼽을 수 있겠다<span lang="en-us">.</span></p><p></p> <p align="left" class="MsoNormal">해당 악성코드는 계속해서 업데이트 되고 있으며 업데이트를 거치면서 기존 페이지에 삽입되어있던 동영상 설명을 없애고<span lang="en-us">, </span>감염되는 확장자를 변경하는 등의 업데이트를 계속해서 수행하며 완성도를 높여가고 있다<span lang="en-us">. </span></p><p></p> <p class="MsoNormal"><span lang="en-us"> </span></p> <p align="left" class="MsoNormal" style="line-height:17.55pt;"><b><span style="font-size:11pt;">□ 예방 방법</span></b><span lang="en-us" style="font-size:11pt;"></span></p><p></p> <p align="left" class="MsoNormal">랜섬웨어에 감염되지 않도록 사용자들은 다음 예방방법을 생활화 하여야 한다<span lang="en-us">.</span></p><p></p> <p align="left" class="MsoNormal"><span lang="en-us">1. </span>스팸 메일 첨부파일 실행 금지<span lang="en-us"></span></p><p></p> <p align="left" class="MsoNormal"><span lang="en-us">2. </span>지속적인 네트워크 연결을 하는 의심되는 프로세스 확인<span lang="en-us"></span></p><p></p> <p align="left" class="MsoNormal"><span lang="en-us">3. </span>운영체제 및 각종 응용프로그램 최신 보안 업데이트 실시<span lang="en-us"></span></p><p></p> <p align="left" class="MsoNormal"><span lang="en-us">4. </span>바이로봇 백신 프로그램 최신 업데이트 유지<span lang="en-us"></span></p><p></p> <p style="text-align:left;"><span lang="en-us" style="line-height:1.5;">5. APT-Shield </span><span style="line-height:1.5;">같은 취약점 보호 프로그램 설치 후 최신 업데이트 유지</span> </p> <p align="left" class="MsoNormal"><br></p> <p align="left" class="MsoNormal"><span lang="en-us"></span></p><p><br></p> <p align="left" class="MsoNormal"><br></p> <p align="left" class="MsoNormal" style="text-align:left;"><br></p>