보안

록키 랜섬웨어의 새로운 버전, 오프라인에서도 가동

Lucian Constantin | IDG News Service 2016.07.15
록키(Locky) 랜섬웨어가 C&C 서버에 연결할 수 없는 상태에서도 파일 암호화를 시작할 것이다.



광범위하게 퍼진 록키 랜섬웨어의 제작자는 최신 버전에서 악성코드가 자신들의 C&C(command-and-control) 서버에 도달할 수 없는 상황에 대한 대응책을 추가했다.

안티바이러스 벤더 아비라(Avira) 보안 연구원들은 새로운 록키 변종을 발견했다. 이 랜섬웨어는 공격자의 서버로부터 암호화 키를 요구할 수 없는 상황, 즉 해당 컴퓨터가 오프라인이거나 방화벽으로 통신을 막아도 파일을 암호화하기 시작한다.

'서버에서 집으로 요청하기'는 퍼블릭 키 암호기법을 사용하는 랜섬웨어 프로그램에서는 중요하다. 사실 이 랜섬웨어는 새로운 컴퓨터를 감염시킨 후 서버에 보고할 수 없다면 파일 암호화를 시작하지 않는다. 이는 암호화 하는 방법이 공격자의 서버에서 만들어진 고유의 퍼블릭-프라이빗 키 쌍에 의존하기 때문이다.
 
우선 이 랜섬웨어 프로그램은 시맨틱 암호화 키를 만들어내고 파일들을 암호화하기 위해 ASE(Advanced Encryption Standard)와 같은 알고리듬을 사용한다. 그런 다음 C&C 서버에 연락을 취해 새로운 감염된 컴퓨터를 위한 RSA 키를 만들어 달라고 서버에 요청한다.

이 퍼블릭 키는 랜섬웨어 프로그램에서 다시 보내지고 AES 암호화 키를 암호화하기 위해 사용된다. 퍼블릭 키가 암호화한 것을 복호화하는데 필요한 프라이빗 키는 공격자의 서버를 떠나지 않고 있다가 사용자가 몸값을 지불할 때 획득한다.

이 프로세스로 인해 네트워크 방화벽은 일부 랜섬웨어의 연결 시도를 탐지하거나 의심스러운 것으로 간주하고 그 시작을 막을 수 있다.

기업들은 피해를 최소화하기 위해 랜섬웨어가 탐지된 컴퓨터를 인터넷으로부터 빨리 차단시킨다. 또한 감염된 컴퓨터가 다른 컴퓨터들에 영향을 미쳤는 지 조사가 끝날 때까지 모든 네트워크를 오프라인 상태로 유지한다.

이 방법으로 가장 널리 퍼진 랜섬웨어 위협 가운데 하나인 록키를 무력화시켰는데, 최근 록키는 오프라인으로도 암호화할 수 있도록 변화했다.

좋은 소식은 록키가 모든 오프라인 피해자들의 파일을 암호화하는데 사전에 정의된 퍼블릭 키를 사용하기 시작했다는 것이다. 이는 누군가 몸값을 지불해 프라이빗 키를 획득한다면 이 키는 다른 모든 오프라인 피해자에게도 적용할 수 있다는 것을 의미한다. editor@itworld.co.kr
 Tags 록키 Locky

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.