보안: "우리 회사 도메인이 보내온 메일 무심코 눌렀더니... 변종 랜섬웨어 습격" 외 1

우리 회사 도메인이 보내온 메일 무심코 눌렀더니... 변종 랜섬웨어 습격
전자신문 | 박정은 기자 jepark@etnews.com | 발행일 2016.07.07
...
# 회사에 출근한 직장인 A씨는 간밤에 들어온 이메일을 확인하다 회사 메일 계정과 같은 도메인에서 보내온 메일 여러 통을 발견했다. 문서파일 하나만 달랑 첨부된 채 별다른 설명이나 내용이 없었다. 호기심이 동한 A씨는 회사 도메인을 사용한 메일이기에 별다른 의심 없이 파일을 실행했다. 얼마 지나지 않아 A씨는 PC 내 업무 자료가 모두 읽을 수 없는 상태로 변했다.
...
온라인 대형 커뮤니티와 언론사 웹사이트 등 광고 배너를 통한 유포가 다소 잠잠해지자 이메일을 이용한 공격이 다시 고개를 들었다. 문서 파일로 위장하는가 하면 메일 헤더값 변조로 수신자와 같은 도메인을 가진 허위 발송 계정을 생성해 피해자를 속인다.
...
최근 발견된 `록키(Locky)` 랜섬웨어 변종은 마이크로소프트(MS) 워드 확장자 형식 중 하나인 `DOCM` 형태 문서를 이메일에 첨부한다. 기존 록키 역시 기업 업무 등에 많이 사용되는 문서 확장자 형식(doc, xls 등)을 가진 파일을 첨부해 사용자가 열어보도록 유도했다.

메일 신뢰도를 높이기 위해 발송인 이름과 메일주소를 변조한다. 관리자(admin, administrator), 프린터(printer), 안내데스크(helpdesk) 등으로 메일 도메인 앞에 붙는 아이디(ID)를 랜덤 생성해 호기심을 불러일으킨다. 기업 등에서 많이 사용하는 아웃룩이나 웹메일 등에서는 메일 헤더 정보만 표시하기 때문에 사용자가 보기에 회사 내부자가 발송한 메일로 보인다.
...
록키와 마찬가지로 이메일로 유포되는 케르베르(cerber) 랜섬웨어도 변종 국내 유포 정황이 포착됐다. JS 압축파일이 첨부된 이메일을 발송하고 랜섬웨어에 감염되면 음성 메시지로 감염 사실을 안내한다.

이스트소프트 관계자는 “록키, 케르베르 등 이메일로 유포되는 랜섬웨어 변종이 연이어 발견된다”며 “이메일 유포와 광고 배너를 이용한 멀버타이징 등 다양한 공격 기법이 활동주기를 번갈아가면서 교묘해졌다”고 말했다.
...

행위 기반 탐지에 가상 환경 분석까지... 보안 업계 "랜섬웨어 막아라!"
전자신문 | 박정은 기자 jepark@etnews.com | 발행일 2016.07.07
...
<안랩 `안티 랜섬웨어 툴`은 V3에서 탐지·차단하는 랜섬웨어를 비롯해 의심되는 프로세스를 차단한다. 안랩 스마트 디펜스(ASD) 클라우드 진단과 별도 가상환경 격리 분석 지원으로 기존 백신·취약점 방어 솔루션과 차별화했다.
인터넷 브라우저와 웹, 메일 등에서 새로운 파일과 실행파일 등이 다운로드 되면 ASD 클라우드로 먼저 진단한다. 안전성이 확정되지 않은 파일은 PC 내 다른 영역에 영향을 미치지 않는 별도 가상 환경에 격리한다. 가상 환경에서 의심 파일을 실행, 악성 여부를 판별한다.
...
사용자 PC 데이터에 손상을 주는 행위나 MBR 파괴, 시스템 재부팅 등 시스템 위협 행위도 막는다. 가상 환경 격리 기능을 적용하면서도 사용자 부담이 적도록 PC 리소스 소모를 최소화했다.

...
하우리가 선보인 `바이로봇 안티-랜섬웨어`는 파일 접근제어와 행위 기반 탐지·차단이 핵심이다. 랜섬웨어가 사용자 파일을 암호화하는 행위를 탐지해 관련 작업이 이뤄지기 전에 차단한다. 암호화뿐만 아니라 유사 비정상 행위를 감지해 일정 수준이 넘는 이상 동작을 보이는 프로세스도 막는다. 평소에는 백그라운드에서 작동하다 랜섬웨어를 탐지·차단하면 알림 창을 띄운다.

랜섬웨어 피해 최소화를 위한 백업 기능도 지원한다. 중요 파일을 선택적으로 랜섬웨어로부터 안전한 보호 폴더에 이동해 파일을 백업·복원한다.
...
두 제품 모두 무료다.
...