제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

무한반복 알림창에 당황해 누르면 랜섬웨어 감염

페이지 정보

작성자 최고관리자 작성일19-09-01 18:36 댓글0건

본문

 최근 무한반복으로 알림창을 노출해 사용자를 당황시킨 후 설치되는 블루크랩 랜섬웨어가 유포되고 있다. 갑자기 알 수 없는 알림창이 계속 나타나 당황스럽더라도 “예(Y)” 단추를 누르지 않도록 주의해야 한다.

 

 

 

 

이번에 확인된 블루크랩 랜섬웨어(BlueCrab ransomware, 또는 Sodinokibi ransomware)는 펄아웃 익스플로잇킷(Fallout EK)과 어도비 플래시 플레이어(Flash Player) 취약점(CVE-2018-15982)을 이용한 방식으로 유포되고 있다. 사용자가 취약한 버전의 플래시 플레이어가 설치된 컴퓨터에서 랜섬웨어가 숨겨진 누리집에 접속하면 자동으로 랜섬웨어가 컴퓨터에 내려받게 된다.

 

이 블루크랩 랜섬웨어가 컴퓨터에 내려받아 동작하면 [그림 1]과 같은 ‘사용자 계정 컨트롤(User Account Control, 이하 UAC)’ 알림창이 나타난다. 사용자가 “아니요(N)” 단추를 누르면 계속해서 동일한 알림창이 나타나게 된다.

 

[그림 1] 랜섬웨어에 의해 반복적으로 나타나는 UAC 알림창
▲ [그림 1] 랜섬웨어에 의해 반복적으로 나타나는 UAC 알림창

 

계속 반복되는 알림창에 당황한 사용자가 결국 알림창의 “예(Y)” 단추를 누르면, 이를 통해 랜섬웨어는 컴퓨터의 ‘관리자 권한’을 획득해 실행 중인 프로세스와 서비스를 탐색해 특정 프로세스와 서비스를 강제로 끝낸다. 이를 통해 백신(Anti-virus) 등 보안 프로그램을 끝내는 한편, 실행 중인 문서 파일이나 중요 데이터베이스 파일 등을 암호화할 수 있게 된다.

 

랜섬웨어가 파일을 암호화하기 위해 폴더에 접근하려면 ‘관리자 권한’이 필요하다. 기존의 블루크랩 랜섬웨어는 프로그램 취약점을 이용해 관리자 권한을 얻으려고 시도했는데, 이번에 유포된 블루크랩 랜섬웨어에는 취약점을 이용한 권한 상승 코드가 제거되어 있는 것으로 확인됐다. 대신, 무한반복되는 알림창으로 사용자를 압박해 권한 허용에 동의하게 함으로써 관리자 권한을 얻은 것이다.

 

관리자권한을 얻어 특성 프로세스와 서비스를 끝낸 뒤 블루크랩 랜섬웨어는 컴퓨터의 파일을 암호화한 후 [그림 2]와 같이 바탕화면을 변경한다.

 

[그림 2] 블루크랩 랜섬웨어가 변경한 바탕화면
▲ [그림 2] 블루크랩 랜섬웨어가 변경한 바탕화면

 

 

무한반복되는 UAC 알림창, 당황하지 말고 이렇게…

 

UAC 알림창이 반복적으로 나타나기 시작하면 대부분의 사용자는 대처하기가 쉽지 않다. 사실상 컴퓨터의 통제권을 뺏긴 것과 마찬가지며, 또 UAC 알림창이 나타나있는 동안에는 윈도우를 사용할 수 없게 된다.

 

이러한 경우에는 알림창의 버튼을 클릭하지 말고 [Ctrl + Alt + Delete] 키를 눌러 ‘작업관리자’를 열어 해당 프로세스를 끝내거나, 여의치 않다면 전원 버튼을 눌러 컴퓨터를 재부팅해야 한다. 그 뒤 V3의 ‘정밀 검사’를 수행할 것을 권장한다.

 

V3 제품은 블루크랩 랜섬웨어와 다음과 같은 진단명으로 탐지하고 있으며, 관련 누리집과 취약점 코드를 차단하고 있다.

 

<V3 제품군 진단명>

- Trojan/Win32.BlueCrab

- Trojan/Win32.MalPE

- Packed/Win32.SuspiciousPacker

- Malware/MDP.Exploit.M2185

 

한편, 이번 블루크랩 랜섬웨어뿐만 아니라 최근 플래시 플레이어 취약점을 이용한 악성코드 유포가 늘어나고 있다. 따라서 사용 중인 플래시 플레이어를 최신 버전으로 업데이트하는 것이 바람직하다.

 

► 플래시 플레이어 보안 업데이트 누리집 바로가기

 

블루크랩 랜섬웨어를 비롯한 악성코드 감염을 예방하기 위해서는 플래시 플레이어를 비롯한 소프트웨어와 운영체제, 인터넷 브라우저(IE, 크롬, 파이어폭스 등)의 최신 보안 업데이트를 적용하고, 사용 중인 백신을 최신 버전으로 유지해야 한다. 또한 안전성이 확인되지 않은 웹사이트 방문이나 프로그램 다운로드는 자제해야 한다