> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
백신 실시간 보호 기능 비활성화하는 랜섬웨어 ‘주의’
‘스톱’, DB 파일 삭제해 랜섬웨어 탐지 차단…가짜 윈도우 업데이트로 추가 악성코드 다운로드
2018년 11월 14일 10:28:43 김선애 기자 iyamm@datanet.co.kr

체크멀(대표 김정훈)은 백신의 실시간 보호 기능을 비활성화해 백신 탐지를 차단하는 ‘스톱(Stop)’ 랜섬웨어 변종이 유포되고 있어 주의가 필요하다고 14일 밝혔다.

최초 스톱 랜섬웨어 파일은 동일한 파일명으로 자가 복제하여 실행된다. ‘Time Trigger Task’ 작업 스케줄러 값을 등록해 5분 단위로 파일을 자동 실행하도록 구성돼 있다. ​암호화된 파일의 확장명은 .DATAWAIT으로 변경되며, 암호화 대상 폴더마다 결제 안내 파일이 생성된다.

이 랜섬웨어는 랜섬웨어 파일을 실행한 후 추가적인 악성 파일도 실행한다. 윈도우 파워셸 기능을 통해 윈도우 디펜더 백신 프로그램의 실시간 보호 기능을 비활성화 한다. 또한 DB 파일을 삭제하여 탐지하지 못하게 만든다.

   

▲스톱 랜섬웨어 결제 안내 메시지

호스트 파일을 변경해 마이크로소프트, 국내외 보안 업체, 유명 파일 다운로드 사이트 등에 대한 접속을 차단한다. 팀뷰어 원격 제어툴을 설치해 윈도우 부팅 시마다 자동 실행되도록 구성한다.

스톱 랜섬웨어는 ‘intersys32.com’ 서버로 감염된 PC의 시스템 정보를 지속적으로 전송해 해당 팀뷰어를 통해 차후 파일 복구 신청 시 직접 접속할 목적으로 설치한 것으로 의심된다. 사용자를 속이기 위해 우측 하단에 윈도우 업데이트 메시지 창을 통해 업데이트가 천천히 진행되는 것처럼 가짜 메시지 창을 생성한다.

이번에 확인된 스톱 랜섬웨어의 경우 파일 암호화뿐만 아니라 추가적인 파일을 실행해 악의적인 기능 수행, 가짜 윈도우 업데이트 메시지 창을 생성하고 보안상 위험을 줄 수 있는 팀뷰어를 설치한다. 호스트 파일보안 사이트 접속을 차단하기 때문에 감염되지 않도록 각별한 주의가 필요하다.

체크멀 관계자는 “스톱 랜섬웨어는 취약점을 통해 감염이 이뤄졌을 가능성이 높으므로 윈도우, 웹 브라우저, 어도비 플래시 프로그램에 대한 최신 보안 업데이트를 적용해야 한다”며 “체크멀의 ‘앱체크’는 스톱 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  윈도우 업데이트, 스톱, 랜섬웨어, 체크멀
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr