백신 업데이트까지 방해하는 랜섬웨어…주의!

백신 업데이트까지 방해하는 랜섬웨어…주의! AhnLab / 2017-04-26     신•변종 랜섬웨어가 지속적으로 유포되고 있는 가운데 최근 백신 프로그램의 엔진 업데이트를 방해하는 변종이 발견되었다. 랜섬웨어를 비롯해 신•변종 악성코드 감염에 의한 피해를 예방하기 위해서는 백신의 엔진을 최신 버전으로 유지하는 것이 중요한 만큼 잠재적인 피해가 우려된다.   해당 랜섬웨어에 감염되면 [그림 1]과 같이 바탕화면에 금전을 요구하는 랜섬 노트가 나타난다.     [그림 1] 감염 시 나타나는 랜섬 노트   이번에 발견된 변종 랜섬웨어는 케르베르(Cerber) 랜섬웨어류로, 주요 기능이나 동작 방식은기존 케르베르 랜섬웨어와 유사하지만, 백신 업데이트를 방해하는 기능이 추가되었다는 점이 가장 큰 차이점이다. 해당 랜섬웨어는 PC의 윈도우(Windows) 관리 도구를 이용해 해당 시스템에 설치된 백신 프로그램 파일을 찾는다. 이렇게 조회된 파일을 advfirewall 명령을 이용하여 윈도우 방화벽에서 해당 파일의 네트워크 연결을 차단하도록 설정한다.   윈도우 방화벽에서 백신 프로그램의 네트워크 연결을 ‘차단’으로 설정해 놓으면 해당 프로그램과 관련 모듈의 네트워크 연결이 불가능하게 되므로, 백신 프로그램의 엔진을 업데이트할 수 없게 된다.     [그림 2] 변조된 방화벽 정책(왼쪽)에 따른 업데이트 오류 메시지(오른쪽)   안랩은 홈페이지를 통해 해당 랜섬웨어에 대한 전용백신을 제공하고 있다. 위의 [그림 2]와 같이 해당 랜섬웨어에 의한 백신 프로그램의 업데이트 오류 증상이 나타났을 경우 [안랩 홈페이지]>[다운로드]>[전용백신]이나 아래 링크를 통해 전용백신을 이용할 수 있다. 전용백신으로 치료한 후에는 반드시 시스템을 재부팅 해야 한다. 단, 전용백신으로 백신 프로그램의 업데이트 오류 증상은 해결할 수 있지만, 랜섬웨어에 의해 이미 암호화된 파일은 복구하기 어렵다.   ▶ 전용 백신 다운로드     [그림 3] 안랩 전용백신   대부분의 랜섬웨어는 일단 감염되고 나면 암호화된 파일을 복구하는 것은 거의 불가능하다. 따라서, 랜섬웨어로 인한 피해를 예방하려면 ▲발신자를 알 수 없는 메일에 첨부된 파일 실행 자제 ▲웹 브라우저, 자바, 플래시 플레이어 등 주요 OS 및 윈도우 보안 업데이트 적용 ▲주기적인 데이터 백업 등의 보안 수칙을 준수하는 것이 가장 중요하다.   V3 제품군에서는 해당 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Malware/Win32.Generic