Breaking
사이버 보안(Cybersecurity)
특이한 방식으로 파일 암호화하는 새로운 랜섬웨어 제품군 발견
2019-07-01 13:38:34
김지연
▲연구진이 특이한 방식으로 파일을 암호화하는 새로운 랜섬웨어 제품군을 발견했다(사진=ⓒ셔터스톡)

[라이헨바흐=김지연 기자] 연구진이 새로운 랜섬웨어 제품군을 발견했다. 이는 일반적으로 발생하는 전형적인 랜섬웨어가 아니다. 남포유(NamPoHyu) 바이러스 또는 메가로커(MegaLocker) 바이러스로 알려진 이 랜섬웨어 제품군은 대상의 컴퓨터 장치가 아닌 로컬 장치에서 실행되며, 공격자가 강제로 액세스한 삼바 서버를 암호화한다.

일반적으로 랜섬웨어 공격이 발생하는 경우, 실행 파일은 피해자의 컴퓨터에 직접 설치된다. 이 과정은 전자 메일을 통한 링크 전송 방식, 해킹, 감염된 파일 전송 방식 등으로 이뤄진다. 하지만 메가로커 바이러스는 다른 방식으로 구동된다.

우선 이 랜섬웨어는 액세스 가능한 삼바 서버를 검색한 다음 정확한 암호와 일치하는 조합을 찾을 때까지 수많은 암호를 전송한다. 이것을 무차별 공격이라고 한다. 무차별 공격 후 삼바 서버에 성공적으로 액세스하면 메가로커 랜섬웨어가 파일을 암호화하고 몸값을 설정한다.

블리핑 컴퓨터(Bleeping Computer)에 따르면 여태까지 50만 개가 넘는 삼바 서버가 발견됐다.

 

몸값 지불

2019년 3월에 몇몇 사용자들이 자신들의 네트워크 연결 저장 장치가 변종 랜섬웨어에 의해 암호화됐다는 소식을 알리면서 메가로커 랜섬웨어의 존재가 드러났다.

메가로커 랜섬웨어로 인해 암호화된 파일은 .crypted라는 확장자를 보완한다. 이 파일은 일반적으로 !DECRYPT_INSTRUCTION.TXT라는 이름의 몸값 메모를 만든다. 이 메모는 피해자에게 몸값 지불 방식을 알린다.

▲메가로커는 피해자들에게 몸값을 요구하는 랜섬웨어다(사진=ⓒ셔터스톡)

이 랜섬웨어가 특이한 점은 공격자가 피해자가 참여한 개인적인 이벤트, 예를 들어 휴가, 생일 파티 등의 사진을 제시한다는 것이다. 만약 피해자가 사진 속 인물이 맞다는 점이 확인되면 파일의 몸값은 250달러(약 29만 원) 수준이다. 기업을 대상으로 한 공격의 경우 몸값이 1,000달러(약 116만 원)다.

2019년 4월 들어 메가로커 랜섬웨어의 이름이 남포유로 바뀌었다. 이후 파일 확장자가 .NamPoHyu로 암호화됐다. 몸값 표시 파일은 이전과 달라진 점이 거의 없었는데, 단, 지불 웹사이트로 연결된 링크가 추가됐다.

몸값은 여전히 개인이 250달러, 기업이 1,000달러였다.

 

랜섬웨어 보안

블리핑 컴퓨터의 연구진은 새로 발견된 랜섬웨어 계열에 대한 암호 해독이 가능하다고 생각한다. 하지만 그 방법은 아직 완전히 확인되지 않았으며 연구진은 피해자들이 공격을 피할 방법을 찾고 있다.

컴퓨터 사용자들은 좋은 컴퓨팅 습관을 익혀야 하며, 보안 소프트웨어를 늘 최신 버전으로 업데이트해야 한다. 또 중요한 데이터는 반드시 백업해둬야 한다.

또한 사용자는 원격 데스크톱 서비스를 실행하고 VPN을 사용하는 인터넷에 연결된 컴퓨터 장치를 사용할 때는 검증된 사람만이 VPN 계정에 액세스할 수 있도록 해야 한다.

새로운 랜섬웨어 제품군은 FTP 및 삼바 서버에 대한 액세스에 크게 의존하기 때문에 강력하고 정교한 암호를 사용하면 공격자가 무차별 공격으로 서비스에 침투하는 것을 막을 수 있다.

▲컴퓨터 사용자들은 좋은 컴퓨팅 습관을 익히고 보안 소프트웨어를 업데이트해야 한다(사진=ⓒ셔터스톡)

블리핑 컴퓨터 연구진은 또한 랜섬웨어와 싸우기 위해 행동 탐지 기능을 포함하고 있는 훌륭한 보안 소프트웨어 솔루션을 사용하는 것이 중요하다고 강조했다. 예를 들어 엠시소프트 안티 멀웨어(Emsisoft Anti-Malware)나 멀웨어바이트(Malwarebytes)의 안티 멀웨어는 랜섬웨어 감염을 방지할 수있는 행동 탐지 기능을 포함하고 있다.

보안 패치를 사용할 수 없다면 윈도우 소프트웨어를 늘 업데이트해야 한다. 그래야 컴퓨터의 보안이 윈도우의 현재 표준에 부합하는지 확인할 수 있다. 그리고 어도비 리더, 자바, 플래시 등의 프로그램도 계속 업데이트해야 한다.

인터넷에서 파일을 탐색할 때는 컴퓨터를 감염시킬 우려가 있는 의심스러운 파일에 주의해야 한다. 또 발신인이 의심스러운 이메일을 발견하면 무시하고 완전히 삭제하는 편이 좋다. 알 수 없는 전자 메일 계정에서 보낸 첨부 파일은 열지 말아야 한다.

또 아는 사람이 갑작스럽게 첨부 파일이 있는 이메일을 보냈을 경우, 상대방의 이메일 계정이 해킹당했을 가능성도 있으므로 지인에게 파일이 첨부된 메일을 직접 보낸 것이 맞는지 물어보는 편이 좋다.

[라이헨바흐=김지연 기자]