|
또 나타난 테슬라크립트, 무엇이 달라졌나? AhnLab / 2016-03-30
2015년 악명 높았던 랜섬웨어 테슬라크립트(TeslaCrypt)가 4.0으로 버전업해 지난 3월 중순 발견됐다. 죽지도 않고 또 나타난 테슬라크립트의 3.0 버전과 4.0 버전을 비교 분석해 본다.
테슬라크립트 3.0과 4.0의 가장 큰 차이점은 랜섬웨어 감염 뒤 확인되는 암호화 파일의 확장자명이다. 3.0 버전의 경우, [그림 1]과 같이 기존 파일명 뒤에 ‘.micro, .mp3’ 등의 문자열을 추가해 외형적으로 어떤 파일이 랜섬웨어에 감염되었는지 바로 판단할 수 있었다.
[그림 1] 테슬라크립트 3.0 감염으로 암호화된 파일
그러나 테슬라 4.0 버전은 [그림 2]와 같이 암호화된 파일의 이름이 변경되지 않아 파일 이름만으로는 랜섬웨어에 감염됐는지 여부를 알 수 없다. 이 경우 파일 실행 후 표시되는 에러 메시지를 통해서만 감염 여부를 확인할 수 있다. 이런 특징은 사용자가 랜섬웨어 감염 여부를 파악하는 데 시간이 오래 걸린다는 점에서 신속한 수동 조치를 통한 피해 확산 방지를 어렵게 한다.
[그림 2] 테슬라크립트 4.0 감염으로 암호화된 파일
실행된 테슬라크립트는 다른 악성코드와 마찬가지로 자가복제 및 자가삭제 행위를 수행하는데 이 과정에서 3.0과 4.0 버전의 또 다른 차이가 발생한다. 바로 자가복제 파일이 위치하는 경로다. 3.0 버전은 %Appication Data%, C:\Windows에, 4.0 버전은 %My Documents%에 자가복제 파일이 존재한다. 또한 테슬라크립트는 업그레이드되면서 이전과 달리 숨김 속성으로 자가복제한다.
[그림 3] 복사본의 경로 변경 (3.0 -> 4.0)
결제 유도 파일명도 3.0 버전의 경우 help_recover_instruction+xxx, _RECoVERY_+xxxxx를, 4.0은 RECOVERxxxxx로 달라 버전 구분의 기준이 될 수 있다.
테슬라크립트 4.0의 경우 아직 복호화 기법이 확인되지 않았다. 덴마크의 HEIMDAL Security에 따르면 4GB 이상의 파일의 암호화도 가능한 것으로 전해져 무엇보다 예방이 중요한 상황이다..
랜섬웨어 감염을 피하기 위해서는 출처가 불분명한 메일에 대한 철저한 관리가 필요하다. 특히 궁금증을 유발하는 메일 제목과 첨부 파일은 실행하지 않을 것을 권장한다. 또한 백신 SW의 사용과 최신 엔진 버전 유지, 꾸준한 시스템 및 SW 업데이트(Microsoft, Adobe, HWP, JAVA)가 필수적이다. 마지막으로 중요한 파일에 대해서는 반드시 백업을 해둬야만 만일의 사태에 대비할 수 있다.
<V3 제품군의 진단명> Trojan/Win32.Teslacrypt (2016.03.18.01) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| USB 사용할 때 주의하세요! 오토런 악성코드 예방법 (0) | 2016.04.12 |
|---|---|
| 페이스북, 스냅챗, 그리고 시장을 주도할 미래 콘텐츠 ‘라이브 동영상’ (0) | 2016.04.06 |
| 자바스크립트(.js) 형태로 유포되는 록키 랜섬웨어 예방 수칙 (0) | 2016.04.04 |
| 랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유 (0) | 2016.03.30 |
| ‘콕 찍어’ 노리는 스피어 피싱, 전격 해부! (0) | 2016.03.29 |