이셋코리아가 크라이시스(Crysis) 및 변종 램섬웨어의 전세계적인 확산에 대해 주의를 요한다고 밝혔다.
이제까지 명성을 떨쳤던 테슬라크립트(TeslaCrypt) 랜섬웨어는 ESET 등 몇몇 안티바이러스 업체가 복호화 도구를 배포하기 시작하면서 확산이 추춤한 듯하지만, 사이버 범죄에서 랜섬웨어가 차지하는 명성과 비율은 전혀 줄어들지 않고 있다.
이셋 라이브그리드(ESET LiveGrid)의 통계에 따르면 윈32(Win32)/파일코더.크라이시스(Filecoder.Crysis) 랜섬웨어가 최근 높은 수준의 확산율을 나타내고 있다.
이 램섬웨어는 고정식, 이동식 및 네트워크 드라이브 내의 모든 파일을 암호화하며, 강력한 암호화 알고리즘을 사용함과 동시에, 빠른 시간 내에 대응 방법을 찾아내기 어려운 몇가지 기법을 사용하고 있다.
크라이시스 랜섬웨어는 기존의 악성코드 확산 방법과는 다르게, 랜섬웨어 파일을 두가지 확장자를 사용해 스팸 메일의 첨부 파일로 배포된다. 이는 첨부된 랜섬웨어 파일이 실행 파일이지만 실행 파일이 아닌 것처럼 보이게 하는 매우 효과적이면서 간단한 기술이다.
크라이시스 랜섬웨어의 또 다른 감염 경로는 적법한 애플리케이션의 설치 파일을 검색하기 위한 도구로 위장해 다양한 인터넷 사이트와 공유 네트워크를 통해 배포된다.
일단 감염이 되면 지속적인 실행을 위해 시스템이 시작될 때마다 동작되도록 레지스트리 항목을 추가한다.
크라이시스 랜섬웨어 실행 시엔 램섬웨어 동작에 필요한 운영체제 파일과 램섬웨어 자체 파일을 제외한 모든 파일을 암호화하고 컴퓨터의 이름과 특정 형식으로 암호화된 파일의 갯수를 수집한 후 C&C 서버로 전송하며 일부 윈도우 버전에서는 램섬웨어를 관리자 권한으로 실행해 파일의 암호화 영역을 확대하려는 시도를 한다.
악성 행위를 완료한 후, 복구 방법을 안내하는 텍스트 파일을 바탕 화면 폴더에 생성하며 경우에 따라 배경 화면에 랜섬 메시지를 표시하는 이미지 파일을 동반하기도 한다. 처음에는 두 개의 공격자 이메일 주소만 표시되지만, 표시된 주소로 이메일을 보내면 파일 복호화에 필요한 비용을 비트코인으로 송금하도록 하는 추가적인 요구사항을 전달받게 된다.
김남욱 이셋코리아 대표는 “최근 발견되는 악성코드의 60% 정도가 랜섬웨어로 알려져 있을 정도로 랜섬웨어의 피해는 매우 심각하다”며 “랜섬웨어의 감염 벡터는 주로 난독화된 자바스크립트로 작성된 드로퍼를 이메일 등에 첨부하여 배포하는 것으로 시작하며, 계속적인 수정과 변형이 이루어지기 때문에 시스템에서 자바스크립트의 유입이나 실행 자체를 차단하지 않는 이상, 사전 방역이 쉽지 않은 것이 현실”이라고 사전 방역이 어려운 이유를 설명했다.
아울러 “기업 환경 등에서는 안티스팸 기능을 적절히 활용해 스크립트를 포함하는 이메일의 내부 유입을 필터링하고, 스크립트에 의한 추가 프로그램의 다운로드나 실행 등의 기능을 차단하는 등의 보다 적극적인 사전 방어 노력이 요구된다”며 “이러한 기능은 ESET 등의 안티바이러스 제품에서 기본적으로 제공되고 있을 뿐 아니라 각 업체별로 분석이 완료된 일부 랜섬웨어에 의해 암호화된 파일의 복구 방법도 제공하고 있어 이를 참고하는 것도 필요할 것”이라고 랜섬웨어 대응 방법에 대해 언급했다.
