랜섬웨어 바이러스

랜섬웨어란?

랜섬웨어 바이러스는 문서를 감염시켜 사용할 수 없게 만들지만 시스템 사용자가 해당 시스템에 액세스하는 것을 허용하는 악성 코드 유형입니다. 랜섬웨어 공격자는 피해자에게 특별히 지정된 지불 수단으로 몸값을 내도록 강요하며, 피해자가 돈을 지불하면 데이터 액세스가 가능해질 수도 있습니다. 하지만 제거 툴을 사용하더라도 랜섬웨어 암호화를 복호화할 수는 없습니다.

이와 관련된 악성 코드 유형인 랜섬로커(Ransomlocker)는 시스템을 잠그는 방법으로 사용자의 디바이스 또는 데이터 액세스를 차단합니다. 피해자는 현지 경찰이 전송한 것처럼 보이는 메시지를 받는데, 체포되지 않고 시스템의 잠금을 해제하려면 "벌금"을 내라는 내용입니다.

랜섬웨어 유형

대표적인 랜섬웨어 종류 몇 가지를 소개합니다. 그밖에도 다양한 랜섬웨어 바이러스 유형이 있습니다.

Petya

Petya는 감염된 시스템의 파일을 암호화하는 트로이 목마 랜섬웨어입니다. Petya는  WannaCry와 같이 EternalBlue 익스플로잇을 자동 전파 수단으로 사용합니다. 그러나 전형적인 SMB 네트워크 확산 기술도 구사합니다. 즉 EternalBlue에 대한 패치를 적용한 곳에서도 유포될 수 있습니다.

자세히 보기

WannaCry

WannaCry는 Microsoft가 2017년 3월에 패치(MS17-010)를 제공한 바 있는 Windows 시스템의 심각한 취약점을 이용하여 기업 네트워크 전반에 자동으로 확산될 수 있다는 점에서 일반 랜섬웨어 유형보다 훨씬 위험합니다. "Eternal Blue"라는 이름의 익스플로잇은 지난 4월에 온라인에 배포되었으며,  Shadow Brokers라는 집단이 연이어 유출한 익스플로잇 중 가장 최근에 나온 것입니다. 이 집단은 Equation 사이버 스파이 조직으로부터 데이터를 훔쳐냈다고 주장했습니다.

WannaCry는 176가지 파일 유형을 찾아내 암호화하고 파일 이름의 끝에 .WCRY를 붙입니다. 사용자에게 미화 300달러의 몸값을 비트코인으로 지불하라고 요구합니다. 또한 3일이 지나면 몸값이 두 배로 오른다고 덧붙입니다. 7일이 지나도 지불하지 않으면 암호화된 파일은 삭제될 것이라고 주장합니다. 그러나 시만텍은 이 랜섬웨어에서 파일을 삭제하는 어떤 코드도 찾지 못했습니다.

자세히 보기

시만텍 제품이 고객을 랜섬웨어로부터 보호하는 방법

랜섬웨어를 차단하려면 모든 제어 지점에서 심층적인 방어 체계 필요

이메일

Symantec Email Security.cloud, Symantec Messaging Gateway

  • 파일 또는 문서에 포함된 악성 지표에 대한 정적 분석 수행

  • 이메일이 전달되기 전에 샌드박스에서 잠재적 악성 스크립트를 탐지하여 악성 행동의 징후가 분명한 경우 차단
  • 이메일 전달 이전에 실시간 링크 추적을 통해, 이메일 전달 후에는 클릭 시점에 링크 분석을 수행하여 악성 링크 차단

Symantec Secure Web Gateway 솔루션1

  • 명령 및 제어(C&C) 서버 및 암호화 서버를 포함하여 악성 사이트 차단
  • 미확인 URL에서 보낸 파일의 경우 의심스러운 행동을 보이는지 분석하여 다계층 실시간 보안 위협 피드를 사용하는 랜섬웨어 활동 유무 확인
  • 악성 코드 분석에서 랜섬웨어의 특징적인 행동을 보이는지 조사하고 미확인 파일은 전달 전에 샌드박스에서 탐지

엔드포인트

Symantec Endpoint Protection 142, ATP: Endpoint(EDR)

  • 첨단 머신 러닝으로 다형성 악성 코드 탐지
  • 에뮬레이터는 놓치기 쉬운 악성 코드를 분석하고 행동 분석은 랜섬웨어 활동 탐지
  • IPS가 랜섬웨어의 암호화 키 다운로드 시도 차단
  • 랜섬웨어가 탐지된 경우 엔드포인트를 격리하여 측면 이동 차단
  • 모든 엔드포인트를 대상으로 랜섬웨어 침해 지표(IoC) 추적

워크로드

Symantec Data Center Security: Server Advanced

  • ‘즉시 사용 가능한' IPS 규칙으로 랜섬웨어 실행 파일이 시스템에 유입되거나 실행되지 않도록 차단 가능
  • 종합적인 IPS 보호 기능을 사용하지 않는 고객은 특정 악성 코드 실행 파일을 차단하는 정책을 구축할 수 있음
  • 추가 규칙을 적용하여 모든 인바운드/아웃바운드 SMB 트래픽 차단도 가능
  • 실행 파일 해시를 글로벌 실행 금지(no-run) 목록에 추가하는 방법으로도 랜섬웨어 차단 가능

자세히 보기

2018년 시만텍 인터넷 보안 위협 보고서(ISTR)

랜섬웨어 시장이 조정 과정을 거치면서 가격 인하와 함께 진입 장벽이 낮아진 반면 변종은 46% 증가했습니다.

리포트 읽기

블로그

WannaCry: 랜섬웨어 공격과 Lazarus 그룹과의 높은 기술적 연관성 확인

코드 및 인프라스트럭처의 유사성으로 인해 Sony Pictures 및 방글라데시 은행 공격에 연루된 조직과의 긴밀한 관계 의심.

모든 공격 지점에서 랜섬웨어를 퇴치하는 통합 방어 전략

시만텍의 첨단 랜섬웨어 차단 솔루션은 모든 제어 지점 전반에서 통합 방어 체계를 제공합니다.

Data Center Security Server Advanced로 WannaCry 차단

시만텍이 어떻게 WannaCry 랜섬웨어로부터 보호하는지 자세히 알아보십시오.

WannaCry 랜섬웨어: 시만텍 침해 사고 대응 서비스의 10가지 주요 전략

IR에서 랜섬웨어 공격을 탐지하여 제거하고 향후 공격으로부터 보호하는 방법.

WannaCry 랜섬웨어: 보험 업계에 미치는 6가지 영향

이 글에서는 보험 업계가 사이버 공격과 관련하여 겪게 될 새로운 리스크를 조명합니다.

WannaCry에 의해 잠긴 파일의 복호화 가능성: 기술 분석

WannaCry 랜섬웨어 웜이 널리 확산되면서 전 세계에서 연일 톱뉴스에 오르고 있습니다.

WannaCry 랜섬웨어에 대해 알아두어야 할 사항

이 랜섬웨어 공격이 어떻게 확산되었으며 유사한 공격으로부터 네트워크를 보호하려면 어떻게 해야 하는지 알아보십시오.

시만텍은 여러 제품 라인을 포함하는 계층적 방어 전략으로 이메일, 웹, 엔드포인트, 데이터 센터 서버 등 여러 공격 경로 및 표적을 지키면서 랜섬웨어로부터 고객을 보호합니다. SONAR 행위 탐지 기술 역시 사전 예방적인 조치로 감염을 차단합니다.

엔드포인트: Symantec Endpoint Protection과 노턴
Symantec Endpoint Protection (SEP)과  노턴 은 4월 24일부터, 즉 WannaCry가 처음 모습을 드러내기 전부터 여러 기술의 조합을 통해 WannaCry가 노리는 취약점에 대한 익스플로잇 시도를 차단하고 있습니다. 실제로 SEP의 첨단 머신 러닝 기능이 WannaCry가 출현한 첫날부터, 어떤 업데이트도 하지 않은 상태에서 사전 예방적으로 모든 WannaCry 감염을 차단했습니다. SEP 14, SEP Cloud, SEP Small Business Edition을 포함한 모든 SEP 버전이 이 WannaCry에 대한 자동 보호 기능을 갖추고 있습니다. 자세한 내용은 아래 세부 사항 및 권장 사항 섹션을 참조하십시오.

이메일: Symantec Email Security.cloud, Symantec Messaging Gateway
Symantec Email Security.cloud 및 Symantec Messaging Gateway 제품은 WannaCry에 대한 자동 보호 기능을 제공하여 이메일 기반 공격을 차단합니다.

웹: Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG)는 랜섬웨어를 포함했을 가능성이 있는 악성 웹 사이트 및 다운로드에 대한 액세스를 차단합니다. SWG 솔루션에는 ProxySG, WSS, GIN, Content & Malware Analysis, Security Analytics, SSLV가 포함되어 있습니다.

워크로드: Symantec Data Center Security: Server Advanced
Symantec Data Center Security: Server Advanced (DCS:SA) 침입 차단 정책이 WannaCry를 '즉시' 차단합니다. Symantec DCS:SA 정책의 3단계, 즉 Windows 6.0(이상) 기본, 강화, 화이트리스팅 단계를 통해 WannaCry 랜섬웨어 공격이 시스템에 악성 실행 파일을 유포하는 것을 차단합니다. 전체 침입 차단 기능을 구축하지 않은 고객은 표적 침입 차단 정책을 적용하여 랜섬웨어 실행을 막을 수 있습니다.

참고: 자세한 내용 및 지침은 Data Center Security Server 랜섬웨어 블로그를 참조하십시오.

엔드포인트 관리: Symantec IT Management Suite
Symantec IT Management Suite (ITMS)는 엔드포인트 및 데이터 센터 서버를 위해 취약점 패치 및 업데이트를 적용합니다. WannaCry를 차단하는 Microsoft Windows SMB Server용 보안 업데이트(4013389) 패치가 지난 3월에 Microsoft에 의해 발표되었으며 ITMS는 같은 날부터 이 패치를 지원하고 있습니다.

참고: ITMS 7.5는 Windows 7/8.1 시스템에 패치를 적용합니다. 그러나 Windows 10 시스템에 패치를 적용하려면 ITMS 7.6 이상 버전이 필요합니다.

Cyber Security Services: 고객은 시만텍의 보안 관제 서비스를 통해 WannaCry 알림을 모니터링하고 사내에 유포되는 랜섬웨어를 탐지할 수 있습니다. 또한 시만텍은 WannaCry 피해자를 위한 대비, 추적, 대응 서비스를 포함한 침해 사고 대응 서비스도 제공할 수 있습니다.

 상세 개요 에서 시만텍 제품이 Wannacry 및 기타 랜섬웨어로부터 어떻게 고객을 보호하는지 확인하십시오.

Symantec Endpoint Protection 및 노턴 고객을 위한 세부 사항 및 권장 사항

고객은 완벽한 사전 예방적인 보호를 받을 수 있도록 아래 기술을 도입하여 활성화하는 것이 좋습니다.

  • 침입 차단
  • SONAR 행위 탐지 기술
  • 첨단 머신 러닝

참고: Symantec Endpoint Protection 고객은 첨단 머신 러닝의 사전 예방적 보호를 활용할 수 있도록 SEP 14로 마이그레이션하는 것이 좋습니다.