랜섬웨어뉴스

[ 보안뉴스 ] 기업들 괴롭히던 록커고가 랜섬웨어, 무력화 방법 찾아냈다

2019-03-28 09:19:16

최근 주요 산업 내 여러 조직들을 공격하고 있는 록커고가(LockerGoga) 랜섬웨어의 일부 변종을 무력화시키는 방법이 발견됐다. 보안 업체 알러트 로직(Alert Logic)의 전문가들이 찾아낸 것으로, 특정 윈도우 폴도 내에 특정 유형의 ‘바로가기’ 파일을 삽입하면 파일의 암호화가 진행되지 않는다고 한다.

록커고가를 분석하고 있던 알러트 로직 전문가들은 “록커고가가 파일의 암호화를 진행하기 전에 스캔을 통해 암호화할 파일의 목록을 먼저 만든다는 것을 알아냈다”고 말한다. “그러다가 바로가기 기능을 가지고 있는 .lnk 파일을 스캔하면, 암호화 과정을 전부 중단합니다. 스캔만 중지되는 게 아니라, 암호화 과정 전체가 중지되더군요.”

이런 현상을 발견한 알러트 로직은 보다 심도 깊게 분석을 진행했다. 그리고 Recent Items라는 폴더에 인식 불가능한 네트워크 경로를 담고 있거나 RPC 엔드포인트와도 연결되어 있지 않은 .lnk 파일이 있을 때 록커고가가 랜섬웨어의 기능을 발휘하지 못한다는 것을 알아냈다.

시스코(Cisco)의 보안 연구 팀인 탈로스(Talos) 역시 록커고가를 분석하다가 흥미로운 사실들을 찾아냈다고 한다. 최근 버전들 일부가 피해자들을 장비에서 강제로 로그오프 시키는 것이다. 이 때문에 피해자는 시스템 내로 로그인을 할 수 없게 되는데, 그래서 랜섬웨어가 화면에 띄우는 협박 편지를 볼 수 없게 된다고 한다. 범인들에게 돈을 내고 싶어도 어디로 얼마나 보내야 할지 알 수가 없게 되는 것이다. 탈로스 팀은 “따라서 이건 랜섬웨어가 아니라 파괴형 멀웨어에 가까운 정체성을 갖게 된다”고 설명한다.

[ 보안뉴스 ] 문가용 기자원문보기

목록바로가기