티스토리 뷰

보안/악성코드

최근 일부 랜섬웨어(Ransomware) 스샷 이미지

NineKY 2009. 7. 31. 12:55
해외 블로그 중에 http://blogs.zdnet.com 기사에서 랜섬웨어에 걸린 시스템에서 뿌려주는 이미지를 몇개 긁어왔다.

예전에 3년 전에 '랜섬웨어' 에 대해서 처음 얘기를 들을 때만 해도
파일들을 특정 Key로 암호화 해놓고, 사용자에게 돈을 요구하는 메시지를 남겨두는
그런 시나리오를 그저 이론 적으로만 이해를 하고 있었다.

이론이 있으면 행동으로 옮기고자 하는 사람도 나타나는 법...

그러나, 이론과 실제는 언제나 다르다.
최근의 랜섬웨어의 경우 금전적인 목적은 동일하나,
파일 암호화가 없이 단순히 사용자의 시스템 이용을 차단하는 방법
+ 그리고, 돈 입금과 같이 물리적인 제약이 따르는 방식이 아닌 유료 SMS 와 같은 것을 통해
   즉시, 그 자리에서 이익이 발생하는 방법을 이용한다고 한다.

이를 가능하게 하기 위해 악성코드가 갖는 특징은 다음과 같다.


Key features include:
- protecting against repeated infection through Mutex
- pops-up on the top of all windows
- disables safe mode, as well as possible key combinations attempting to bypass the window
  일단 감염이 발생하면 '안전모드'로의 부팅이 불가능하기 때문에, 시작 프로그램에 악성코드가 등록될 경우 무조건 로드되게 된다. Key Feature 에 루트킷 기능이 아직은 없지만, 숨김 기능 + AV Kill 기능까지 들어갈 경우 시스템 포멧이 아니고서는 복구가 불가능해질 수도 있다.
- adds itself as a trusted executable/excluded one in Windows Firewall
- variety of non-intrusive auto-starting/executable injecting capabilities
- Rotx encryption for the activation codes
- ability to embedd more than one activation code
- monitors and automatically blocks process names of tools that could allow removal
- complete removal of the code from the system once the correct activation code is entered
- zero detection rate of a sampled binary -- of course the advertiser is biased and he didn't bother including reference to the service he used (Virustotal, NoVirusThanks.org etc.)


아래의 그림은 최근에 등장한 랜섬웨어의 실제 이미지들이다.
012345

저작자표시

'보안 > 악성코드' 카테고리의 다른 글

노트 : KoobFace (Facebook)  (0) 2009.08.07
libeay32.dll and ssleay32.dll : OpenSSL 모듈  (0) 2009.08.06
해외 FakeAV - System Securty - 최근 배포 사이트에서 BSOD 를 보여주기 시작함  (0) 2009.07.31
psasrv.exe - IBM Professional Services Automation (PSA) Access Driver Control  (0) 2009.07.21
_tpiu000.exe - IBM ThinkPad 구성 모듈  (0) 2009.07.21
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/04   »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
글 보관함