전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 공지사항

공지사항

 

게시판 상세
제목 무한반복 알림창에 당황해 클릭하면 랜섬웨어 감염?!
작성자 차성윤 (ip:)
  • 평점 0점  
  • 작성일 2019-08-29
  • 추천 추천하기
  • 조회수 33

최근 무한반복으로 알림창을 노출해 사용자를 당황시킨 후 설치되는 블루크랩 랜섬웨어가 유포되고 있다. 갑자기 알 수 없는 알림창이 계속 나타나 당황스럽더라도 “예(Y)” 버튼을 클릭하지 않도록 주의해야 한다.

 


 

이번에 확인된 블루크랩 랜섬웨어(BlueCrab ransomware, 또는 Sodinokibi ransomware)는 펄아웃 익스플로잇킷(Fallout EK)과 어도비 플래시 플레이어(Flash Player) 취약점(CVE-2018-15982)을 이용한 드라이브-바이-다운로드(Drive-By-Download) 방식으로 유포되고 있다. 사용자가 취약한 버전의 플래시 플레이어가 설치된 PC에서 랜섬웨어가 숨겨진 웹 사이트에 접속하면 자동으로 랜섬웨어가 PC에 다운로드된다.

 

이 블루크랩 랜섬웨어가 PC에 다운로드되어 동작하면 [그림 1]과 같은 ‘사용자 계정 컨트롤(User Account Control, 이하 UAC)’ 알림창이 나타난다. 사용자가 “아니요(N)” 버튼을 클릭하면 계속해서 동일한 알림창이 나타나게 된다.

 

  

[그림 1] 랜섬웨어에 의해 반복적으로 나타나는 UAC 알림창

 

계속 반복되는 알림창에 당황한 사용자가 결국 알림창의 “예(Y)” 버튼을 클릭하면, 이를 통해 랜섬웨어는 PC의 ‘관리자 권한’을 획득해 실행 중인 프로세스와 서비스를 탐색해 특정 프로세스와 서비스를 강제로 종료한다. 이를 통해 백신(Anti-virus) 등 보안 프로그램을 종료하는 한편, 실행 중인 문서 파일이나 중요 DB 파일 등을 암호화할 수 있게 된다.

 

랜섬웨어가 파일을 암호화하기 위해 폴더에 접근하거나 VSC(Volume Shadow Copy)를 삭제하려면 ‘관리자 권한’이 필요하다. 기존의 블루크랩 랜섬웨어는 프로그램 취약점을 이용해 관리자 권한 획득을 시도했는데, 이번에 유포된 블루크랩 랜섬웨어에는 취약점을 이용한 권한 상승 코드가 제거되어 있는 것으로 확인됐다. 대신, 무한반복되는 알림창으로 사용자를 압박해 권한 허용에 동의하게 함으로써 관리자 권한을 획득한 것이다.

 

관리자권한을 획득해 특성 프로세스와 서비스를 종료한 후 블루크랩 랜섬웨어는 PC의 파일을 암호화한 후 [그림 2]와 같이 바탕화면을 변경한다.

 

  

[그림 2] 블루크랩 랜섬웨어가 변경한 바탕화면

 

무한반복되는 UAC 알림창, 당황하지 말고 이렇게…

UAC 알림창이 반복적으로 나타나기 시작하면 대부분의 사용자는 대처하기가 쉽지 않다. 사실상 PC의 통제권을 뺏긴 것과 마찬가지며, 또 UAC 알림창이 나타나있는 동안에는 윈도우를 사용할 수 없게 된다.

 

이러한 경우에는 알림창의 버튼을 클릭하지 말고 [Ctrl + Alt + Delete] 키를 눌러 ‘작업관리자’를 열어 해당 프로세스를 종료하거나, 여의치 않다면 전원 버튼을 눌러 PC를 재부팅해야 한다. 그 후 V3의 ‘정밀 검사’를 수행할 것을 권장한다.

 

V3 제품은 블루크랩 랜섬웨어와 다음과 같은 진단명으로 탐지하고 있으며, 관련 웹사이트 및 취약점 코드를 차단하고 있다.


<V3 제품군 진단명>

- Trojan/Win32.BlueCrab

- Trojan/Win32.MalPE

- Packed/Win32.SuspiciousPacker

- Malware/MDP.Exploit.M2185

 

한편, 이번 블루크랩 랜섬웨어뿐만 아니라 최근 플래시 플레이어 취약점을 이용한 악성코드 유포가 증가하고 있다. 따라서 사용 중인 플래시 플레이어를 최신 버전으로 업데이트하는 것이 바람직하다.

► 플래시 플레이어 보안 업데이트 사이트 바로가기

 

블루크랩 랜섬웨어를 비롯한 악성코드 감염을 예방하기 위해서는 플래시 플레이어를 비롯한 소프트웨어와 운영체제, 인터넷 브라우저(IE, 크롬, 파이어폭스 등)의 최신 보안 업데이트를 적용하고, 사용 중인 백신을 최신 버전으로 유지해야 한다. 또한 안전성이 확인되지 않은 웹사이트 방문이나 프로그램 다운로드는 자제해야 한다.

 

최신 블루크랩 랜섬웨어에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC) 블로그에서 확인할 수 있다.

► ASEC 블로그 바로가기

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스