걸렸다가 눈물 쏙 뺄(?) 올크라이 랜섬웨어

걸렸다가 눈물 쏙 뺄(?) 올크라이 랜섬웨어 AhnLab ASEC대응팀 / 2017-10-18     최근 올크라이(AllCry) 랜섬웨어가 유포되어 주의가 요구된다. 이 랜섬웨어는 지난 추석 연휴 동안 유포돼 더 큰 피해가 발생했다.   대개 랜섬웨어는 스팸 메일의 첨부 파일을 통해 유포되거나 보안 업데이트가 적절히 적용되지 않은 PC에서 보안이 취약한 웹 사이트, 즉 공격자에 의해 조작된 웹 사이트에 접속할 때 감염되기도 한다. 그런데 이번에 발견된 올크라이 랜섬웨어는 이와는 달리 PUP(Potentially Unwanted Program, 불필요한 프로그램)를 통해 유포되었다.   PUP는 대개 사용자가 어떤 프로그램을 설치할 때 제휴프로그램, 스폰서프로그램 등으로 함께 설치된다. 이번에 발견된 올크라이 랜섬웨어도 [그림 1]과 같이 특정 프로그램을 설치할 때 설치되는 제휴 프로그램을 통해 사용자 PC를 감염시켰다. 이 PUP 자체가 랜섬웨어는 아니다. 공격자가 해당 PUP의 업데이트 서버를 해킹해 정상 프로그램이 아닌 랜섬웨어가 다운로드 되도록 조작해둔 것이다.   [그림 1] 특정 프로그램 설치 시 추가 프로그램 설치 유도   올크라이 랜섬웨어는 PC내 모든 파일을 암호화하고 확장자를 .allcry로 변경한다. 암호화 대상은 한글 파일(.hwp)을 비롯한 문서 파일 뿐만 아니라 실행 파일(.exe)까지 포함하고 있다. PC 내 파일의 암호화를 마친 올크라이 랜섬웨어는 [그림 2]와 같이 랜섬노트를 화면에 출력하여 감염 사실을 사용자에게 알린다.   [그림 2] 올크라이 랜섬노트   V3 제품은 올크라이 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Trojan/Win32.Allcry - Trojan/Win32.Ransom   최근 수년 간 PUP를 이용한 악성코드 유포가 지속적으로 발생하고 있다. 주로 광고 노출 등을 목적으로 제작된 PUP는 일단 제작 및 배포하고 나면 이후 업데이트나 패치 등 지속적인 보안 관리를 하는 경우가 거의 없다. 공격자들은 이를 놓치지 않고 PUP 서버를 해킹하여 랜섬웨어를 비롯한 각종 악성코드 유포 경로로 활용하고 있다.   PUP를 이용한 악성코드에 감염되지 않기 위해서는 무엇보다 사용자의 주의가 필요하다. 프로그램 설치 시 추가 프로그램 목록이나 사용자 동의 메시지 창을 자세히 살펴보면 PUP가 설치되는 것을 방지할 수 있다. 만약 실수로, 혹은 자신도 모르게 PUP를 설치했다면 V3의 도움을 받아보자.   [그림 3]과 같이 V3 365 클리닉을 비롯한 대부분의 V3 제품의 ‘환경 설정’에서 ‘PC 검사 설정 > PC 실시간 검사 > 검사 대상 및 성능 레벨’ 설정을 통해 불필요한 프로그램(PUP)를 검사 대상으로 선택할 수 있다. 이렇게 설정하고 나면 이후 PUP가 설치될 때 PC 오른쪽 하단에 “불필요한 프로그램(PUP) 차단”이라는 알림창이 나타난다. 이 알림창에는 해당 프로그램의 이름, 경로, 상태 등이 함께 표시되기 때문에 사용자의 판단에 따라 해당 프로그램을 제거할 수도 있다.   [그림 3] V3의 PUP 검사 대상 설정   V3 Lite를 사용하고 있다면 [그림 4]와 같이 ‘평판이 낮은 프로그램’을 검사 대상으로 설정할 수 있다. 앞서 언급한 것처럼 안랩의 PUP 분류 기준에는 사용자 평가도 반영되어 있기 때문에 PUP 확인 및 설치 방지에 도움이 될 수 있다.   [그림 4] V3 Lite의 검사 대상 설정 화면