ASEC REPORT VOL.86 2017 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다. 2017 년 1 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 악성코드감염경로로악용되는 PUP 신화속이름으로나타난 오시리스랜섬웨어 의실체 04 07 악성코드상세분석 ANALYSIS-IN-DEPTH 비너스락커, 올해최악의랜섬웨어되나 12 2
보안이슈 SECURITY ISSUE 악성코드감염경로로악용되는 PUP 신화속이름으로나타난 오시리스 랜섬웨어 의실체
보안이슈 악성코드감염경로로 Security Issue 악용되는 PUP 2017년에도불필요한프로그램 (Potentially Unwanted Programs, 이하 PUP) 을이용한악성코드유포가계속되고있다. 최근에는 PC 최적화프로그램으로위장한파밍악성코드가발견되어사용자들의각별한주의가필요하다. PUP는주로사용자들이유틸리티다운로드시함께설치되는제휴프로그램형태이다. 공격자는배포이후관리가잘되지않는 PUP의보안상허점을노려 PUP 업데이트서버를통해다수의사용자들에게악성코드유포하고있다. 지난 2017년 1분기에 PrimePC 라는이름의프로그램을통해파밍악성코드가유포됐다. PC 최적화프로그램으로위장한해당프로그램은실제로는사용자에게광고를노출하는프로그램이다. 프로그램설치가완료되면 PrimePC 파일이주기적으로업데이트서버와통신하며새로운파일을다운로드하고실행한다. 정상다운로드정보 <item type="update" name=[ 프로그램이름 ] downloadurl="http:// download.lnimarketing.co.kr/updatefile/[ 프로그램이름 ]/[ 버전 ]/[ 파일명 ] " licenseurl="" visible="false" ver=[ 버전 ] installpath="" param="" /> 변조된다운로드정보 <item type="distribute" name= PrimePC downloadurl="update.lnimarketing.co.kr/updatefile/primepc.exe" licenseurl="" visible="false" ver=[ 버전 ] installpath="" param="" /> 표 1-1 정상 PUP 업데이트 URL ( 상 ) / 변조된 PUP 업데이트 URL ( 하 ) 4
[ 랜덤문자열 ].exe 랜덤문자열 ].dll A1.zip - 정상 wshtcpip.dll B1.zip 패치된악성 wshtcpip.dll C1.zip 정상 midimap.dll D1.zip 패치된악성 midimap.dll 표 1-2 생성된파일 해당프로그램은본래특정서버 (http:// update.adplatform kr/update.php) 내 URL 을참조하여업데이트파일을다운로드하는데, 공격자는 [ 표 1-1] 과같이업데이트 URL을변조하여악성코드를다운로드하도록조작했다. 변 조된 PUP 업데이트 URL 을통해사용자 PC 에다운로드및실행된악성코드는 %Temp% 경로에 [ 표 1-2] 과같은파일들을생성한다. 해당악성코드는정상적인프로세스에의해윈도우의 dll 파일이로드되는점을악용해 %System32% 와 %syswow64% 경로내의정상윈도우파일인 wshtcpip.dll 과 midimap.dll 을악 성파일로교체한다. 이로써정상윈도우프로세스실행시악성코드로교체된 dll 파일이실행된다. 정상윈도우파일을악성코드로교체한후에는추 가악성행위를위해 [ 그림 1-1] 과같이호스트파 일을변조한다. 변조된호스트파일로인해사용자는정상포털 및은행사이트대신공격자가만들어놓은피 싱사이트로접속하게된다. 그림 1-1 변조된호스트파일 파밍악성코드에감염된 PC에서웹브라우저를실행하면 [ 그림 1-2] 와같이보안관련인증절차팝업이나타나사용자가정상적으로웹서핑을할수없도록한다. 해당피싱페이지는 전자금융사기예방서비스 가입절차를구실로사용자에게개인정보및계좌번호, 보안카드일련번호, OTP 번호등을입력하도록유도한다. 5
이번사례와같은 PUP 업데이트서버를변조하여파밍악성코드를유포하는사례가지속적으로발견되고있다. PUP를통해유포되는악성코드는대부분 PC의메모리영역이나정상시스템파일을변조하기때문에사용자가감염여부를눈치채지못하는경우가많아각별한주의가필요하다. PUP 로인한악성코드감염피해를예방하기위 그림 1-2 피싱사이트접속유도화면 해서는평소주기적인점검을통해불필요한프 로그램을제거하는것이바람직하다. 특히유틸리티프로그램등을설치할때는설치항목을꼼꼼 히살펴스폰서프로그램또는제휴프로그램은가급적설치하지않아야한다. 또한 V3 등백신프 로그램의엔진을항상최신버전으로유지하는습관도필요하다. <AhnLab 진단정보 > 안랩제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. V3 제품군 : Trojan/Win32.Banki, Win-Trojan/Patched4.Gen MDS: Trojan/Win32.Banki, Trojan/Win32.Patched4 6
보안이슈 신화속이름으로나타난 Security Issue 오시리스랜섬웨어 의실체 대부분의랜섬웨어는파일암호화를완료한후변경하는파일확장자명을따서이름지어진다. 록키 (Locky) 랜섬웨어역시확장자명에따라다양한이름이붙은대표적인랜섬웨어다. 초기의.locky 를 시작으로.thor,.aesir 에이어최근에는.osiris 라는확장자명을가진변형까지새롭게발견됐다. 최근록키랜섬웨어의변종은신화에서이름을차용해온경우가대부분이다. 이리포트에서살펴볼 오시리스랜섬웨어또한이집트신화에등장하는 죽음과부활의신 의이름이다. 오시리스랜섬웨어의유포방식은기존록키랜섬웨어와마찬가지로스팸메일의첨부파일을이용한형태다. 사용자가메일에첨부된다운로더를실행하면실제랜섬웨어행위를수행하는악성실행파일이다운로드되는방식이다. 첨부된다운로더악성코드는주로스크립트파일 (js, jse, wsf) 또는매크로문서 (docm) 형태를띄고있다. [ 그림 1-3] 은가장흔히확인되는 JS 파일형태의랜섬웨어다운로더로, 파일내부의코드가난독화되어있다. 해당코드에는랜섬웨어감염에필요한기능들이프로그래밍 그림 1-3 JS 다운로더 되어있으며, [ 표 1-3] 과같이랜섬웨어유포 7
지가포함되어있다. royaloakripon.co.uk/8eecjblke, ruangmobil.com/rwmn3jn, sandy-bedfordshire.info/v1qwq. reliatemp.net/5zuhrikzt, sagad.it/shdltwfb 표 1-3 랜섬웨어유포지 URL 해당 JS 파일을실행하면 [ 그림 1-4] 와같이랜섬웨어유포지 URL 중 http://royaloakripon.co.uk/8eecjblk 에서랜섬웨어바이너리를다운로드한다. 그림 1-4 랜섬웨어다운로드 HTTP 요청 최초로다운로드된바이너리인 hsrjiwgtw는암호화되어있으며, JS 파일내구현된복호화기능을통해 PE 실행파일형태로복호화된다. [ 그림 1-5] 와같이 hsrjiwgtw은복호화과정에서 zk 확장자를추가한다. 복호화된파일을분석한결과, PE 파일의특징인 MZ 와 PE 헤더문자열가진것을확인됐다. 이는해당파일이윈도우운영체제에서실행가능함을의미한다. 복호화과정에서특징적인점은윈도우에서주로사용하지않는 zk 확장자를추가한것이다. 이는 zk 확장자가백신프로그램의주요감시대상의파일확장자가아닌점을이용해백신의 그림 1-5 랜섬웨어바이너리복호화전과후 탐지를회피하기위한것으로추측된다. 이처럼최근록키랜섬웨어의변종은윈도우운영체제에서인식하지않는형태의확장자를랜섬웨어바이너리에덧붙이는공격기법을사용하고있다. zk 뿐만아니라 tdb, rap, spe, mda와같은확장자도확인되었다. 한편, JSE(encoded JavaScript) 파일을통해다운로드된랜섬웨어에서는윈도우에서인식가능한 dll 확장자로바로복호화되는특징도확인됐다. 8
그림 1-6 rundll32.exe 를통해실행되는오시리스랜섬웨어 다운로드된오시리스랜섬웨어는 [ 그림 1-6] 과같이 rundll32.exe 를통해실행된다. 실행된후에 는 3 개의 C2 에연결되는데, [ 그림 1-7] 과같이 3 개의연결모두 HTTP 주소구조에맞지않는형태 로 HEAD 요청을보낸다. 그림 1-7 오시리스랜섬웨어의 C2 연결 안랩시큐리티대응센터 (ASEC) 분석결과, [ 그림 1-8] 의 HTTP HEAD 요청과같이메시지 (payload) 없이헤더만보내는방식으로 C2 가살아있는것을확인하는것으로추측된다. 이와같은과정을모두거친후최종적으로파 일을암호화하고나면 [ 그림 1-9] 와같이 PC 에오시리스랜섬웨어감염메시지가나타난 다. 또한암호화가완료된파일들의확장자가.osiris 로변경된것을확인할수있다. 그림 1-8 HTTP HEAD 요청 9
그림 1-9 오시리스랜섬웨어랜섬노트 현재록키랜섬웨어의변종은전세계적으로광범위하게다량으로유포되고있다. 오시리스랜섬웨어와같이록키랜섬웨어변종은기존록키랜섬웨어와유사한방식으로유포되지만암호화된파일의확장자명을지속적으로변경하는 그림 1-10.osiris 확장자로암호화된파일 ( 하 ) 등정체를숨기는노력을하고있다. 랜섬웨어에감염되면사실상파일복구가어렵기때문에 OS 및주요애플리케이션의최신보안업데이트를적용하고백신프로그램의엔진을최신버전으로유지하는등기본적인보안수칙을준수하는것이무엇보다중요하다. 또한중요한데이터는주기적으로백업해두는습관도바람직하다. 주기적인데이터백업은랜섬웨어를비롯한악성코드감염뿐만아니라하드디스크손상, 운영체제오류등으로인해시스템을포맷하게될경우에도유연하게대처할수있다. <AhnLab 진단정보 > 안랩제품에서는오시리스랜섬웨어를다음과같은진단명으로탐지하고있다. V3 제품군 : JS/Obfuscated, Trojan/Win32.Locky MDS: Malware/MDP.Create 10
악성코드 상세분석 ANALYSIS-IN-DEPTH 비너스락커, 올해최악의랜섬웨어되나
악성코드상세분석 비너스락커, Analysis-In-Depth 올해최악의랜섬웨어되나 2017 년 1 분기에는비너스락커 (VenusLocker) 가확산되며적지않은충격을가져왔다. 2016 년하반기 에처음등장한비너스락커랜섬웨어는 록키 (Locky) 와 케르베르 (Cerber) 랜섬웨어에이어다양한 변종을양산하고있어, 2017 년상반기최대보안위협으로급부상할것으로전망된다. 비너스락커는무작위로대량유포되던기존랜섬웨어와달리, 사회공학적기법 (Social Engineering) 을이용하여유포되고있다. 특히자연스러운한국어로작성된스팸메일을통해유포되고있으며, 국내관공서를주된공격대상으로삼은정황이포착되는등한국맞춤형랜섬웨어로급속히확산되고있어각별한주의가요구된다. 유포방식부터일련의동작과정, 암호화진행결과, 그리고복구툴을이용한암호화파일복구과정 까지이른바한국형랜섬웨어로불리우는 비너스락커 를면밀히살펴본다. 1. 비너스락커유포방식비너스락커는 [ 그림 2-1] 과같이사내공지, 이력서등으로위장한스팸메일을통해유포되고있다. 기존의어설픈한국어로작성되어있던스팸 그림 2-1 비너스락커의스팸메일 메일들과달리상당히자연스러운문장과내용으 12
로작성되어있어국내사용자들이의심하기어려울정도다. [ 표 2-1] 은비너스락커의주요유포방식이며, 스 팸메일에첨부된악성파일의종류는 [ 그림 2-2] 와같다. 첨부파일또한 외부공문, 내부지침사 문서파일에포함된악성매크로실행시랜섬웨어드롭 압축파일첨부 ( 랜섬웨어본체와바로가기파일포함 ) 표 2-1 비너스락커의유포방식 항 등과같이메일본문내용과관련있는문서로 치밀하게위장하고있다. 그림 2-2 스팸메일에첨부된악성문서파일 ( 좌 ) 및실행파일 ( 우 ) 그러나비너스락커랜섬웨어는다른랜섬웨어에비해비교적정교하지못한랜섬웨어라할수있다. 닷넷프레임워크 (.NET Framework) 환경에서실행되도록제작되었지만, 초창기버전의프로그램자체에는별다른보호기법이적용되어있지않다. 따라서명령제어서버로접속이불가능한경우등제한적인환경에서는고정된키값을사용하여암호화하고있다. 즉, 현재까지확인된비너스락커랜섬웨어는 [ 그림 2-3] 과같이닷넷디컴파일러 (Decompiler) 와같은툴을사용하여쉽게내부코드를확인할수있으며, 이를통해고정키값또 그림 2-3 디컴파일러 (Decompiler) 를통해확인가능한내부코드 한확인이가능하다. 13
2. 비너스락커동작방식 비너스락커랜섬웨어는 [ 그림 2-4] 와같은과정으로동작한다. 전체적인동작단계별상세행위는 [ 표 2-2] 와같다. 그림 2-4 비너스락커랜섬웨어동작방식 1. 감염환경확인 2. 가상환경확인 3. 날짜비교 하기경로의특정파일존재시프로그램종료존재하지않을경우생성후속성변경 - 숨김, 시스템파일 - 경로 : C:\User\ 사용자계정 \[ 랜덤명 ] 대상 PC 가아래의가상환경목록중하나에해당할경우프로그램종료 WMI (Windows Management Instrumentation) 서비스이용 - 가상환경 : Virtual PC, VMware Workstation, Virtual Box 대상 PC 의날짜와내부에정의된기준날짜를비교하여이전일경우만실행 - 기준날짜 ( 일부 ): 2017-03-01, 2017-04-01, 2017-09-30 14
4. 정보전송 5. 키생성 6. 경로및확장자확인 7. AES 암호화 ( 파일 ) 8. RSA 암호화 ( 키 ) 대상 PC 의정보를수집하여명령제어서버로전송해당정보를조합한값의해시값으로 User ID 를생성 - 수집정보 : 컴퓨터이름, 사용자이름, 언어, 날짜및시간, 운영체제버전 - 접속주소 ( 일부 ) http://ransom.jianclaioskdo.info/create.php https://158.255.5.153/create.php http://185.106.122.2/create.php 키값은위정보전송결과에따라다음과같이 2가지로나뉘어진다. 1. 전송성공 : 새로운키값생성 2. 전송실패 : 내부정의된키값사용 - 내부키값 BGORMkj&v=u1X0O2hOybNdRvZb9SGGnm zyqccu4ml*4t=v!yp4oe9s5hbcotgb8a 로컬드라이브내의모든폴더를검색하여암호화대상파일확인 1. [ 표 3] 의 확장자 2. [ 표 4] 의 예외폴더 3. 시스템파일및 숨김 속성을가진파일제외 전체 암호화혹은 부분 암호화수행 ([ 표 3] 참고 ) 파일명은 Base64 인코딩후 VenusLocker 랜섬웨어확장자사용 전체 암호화는파일전체암호화를의미 부분 암호화는파일시작부터일정크기만큼만암호화 (512 or 1024 bytes). 감염파일이 전체 or 부분 암호화된파일인지는랜섬웨어확장자를통해구분가능 1. 전체 암호화 :.Venusf,.VenusLf,.VenusLfS 2. 부분 암호화 :.Venusp,.VenusLp, VenusLpS 위정보전송이성공하여새로운키값을생성한경우만해당해당키값을내부에정의된공개키값으로 RSA 암호화하여명령제어서버로전송 ( 정보전송 단계에서생성한 User ID 값도같이전송 ) - 접속주소 ( 일부 ) http://ransom.jianclaioskdo.info/keysave.php https://158.255.5.153/keysave.php http://185.106.122.2/keysave.php 표 2-2 동작단계별상세행위 3. 비너스락커의파일암호화 비너스락커가암호화하는대상파일의확장자는 [ 표 2-3] 과같다. 이중에는국내관공서에서주로사용 하는 hwp 확장자를포함하고있다. 15
전체 암호화 txt, cc, docb, doc, xlw, xlsx, jar, potx, ini, h, wps, dot, ppt, xlsm, csv, potm, php, cs, msg, docx, pot, xltx, xml, ppam, html, log, xls, docm, pps, xltm, dwg, ppsx, css, pl, xlt, dotx, pptx, xlsb, dxf, ppsm, py, java, xlm, dotm, pptm, xla, asp, sldx, c, cpp, wpd, rtf, xll, xlam, class, sldm, hwp 부분 암호화 asf, gif, avi, pbf, dvx, wmmp, ink, cbr, tbz2, xwd, dvi, now, adr, pdf, bmp, wav, ra, evo, wmx, cbz, tg, abw, dxe, odm, ap, mp4, raw, flv, wvx, jif, gz, tlz, act, mlx, oft, aro, pdd, saf, qtq, xvid, iff, gzig, vsi, adt, err, pwi, asa, val, tch, 3d, jpc, jgz, wad, aim, euc, rng, ascx, mp3, aac, wave, rts, 3d4, jpf, pak, war, ans, faq, rtx, ashx, waw, ac3, wow, rum, 3df8, jpw, pcv, xpi, asc, fdr, run, asmx, jpg, amf, wpk, rv, pbs, mag, puz, z02, ase, fds, ssa, jpeg, ppd, amr, 3g2, scn, adi, mic, rev, z04, bdp, gthr, text, indd, eps, 3gp, srt, ais, mip, sdn, zap, bdr, idx, unx, asr, png, 3gp2, stx, amu, msp, sen, zipx, bib, kwd, wbk, qbb, ace, accdb, 3mm, svi, arr, nav, sfs, zoo, boc, lp2, wsh, bml, rar, djvu, mod, amx, swf, bmc, ncd, sfx, ipa, crd, ltr, 7z, cer, zip, tar, tax2013, avs, trp, bmf, odc, sh, isu, diz, man, arc, cms, psd, cdr, tax2014, bik, vdo, cag, odi, shar, mbox, ari, crt, tif, max, oga, dir, wm, cam, opf, shr, js, arj, dap, wma, wmv, ogg, divx, wmd, dng, qif, sqx, udf, nfo, car, htm, adr, ff, utc, ctt, sds, dpl, mxp, bak, rw2, aaf, sr2, jc, ap, gam, utx, dal, sql, dpr, oxt, odt, r3d, aep, bay, aro, grf, uvx, ddc, stt, dsk, qpx, pst, ptx, aepx, crw, asa, h3m, uxx, ddcx, tcx, dsp, qtr, pef, plb, cr2, prc, ascx, h4r, vmf, dex, thmx, eql, mpg, srw, prel, db, dcr, prt, ashx, iwd, vtf, dif, txd, ex, mpeg, x3f, prproj, pdb, kdc, shw, asmx, ldb, w3g, dii, txf, f90, odb, der, eat, dat, erf, std, lgp, w3x, itdb, upoi, fla, xlv, pem, ppj, mef, ver, indd, lvl, wtd, itl, vmt, for, xpt, xlk, pfx, indl, mrw, wpl, asr, map, wtf, kmz, wks, fpp, cfg, mdb, p12, indt, spv, nef, qbb, md3, ccd, lcd, wmdb, jav, cwf, dxg, p7b, indb, grle, nrw, yps, bml, mdl, cd, lcf, xl, dbb, p7c, inx, sv5, orf, 1cd, cer, nds, cso, mbx, xlc, lbi, slt, wb2, jfif, idml, game, raf, bck, cms, pbp, disk, mdn, xlr, owl, bp2, dbf, exif, pmd, slot, rwl, crt, ppf, dmg, odf, bp3, ai, xqx, yab, tpu, dcu, dap, pwf, dvd, odp, plc, bpl, 3fr, svg, aip, tpx, dev, htm, pxp, fcd, ods, ltm, pli, clr, arw, as3, amxx, tu, dob, moz, sad, flp, pab, xlwx, pm, dbx, srf, as, ape, tur, dox, svr, sav, img, pkb, mcd, res, cp, qel, sdb, snp, api, vc, dpk, url, scm, isz, pkh, cap, rsrc, rgn, sdc, bkf, usa, uax, col, wdgt, scx, mdf, so, rrt, adpb, ade, usx, umx, cty, abk, sdt, mds, cod, swd, csi, rsw, dic, vcd, ut2, unr, dem, bic, spr, nrg, psa, qdf, dcp, rte, cch, vhd, ut3, uop, elf, big, sud, nri, blp, bsp, cgf, chk 표 2-3 암호화대상확장자 [ 표 2-4] 는암호화예외폴더로, 해당폴더하위에존재하는파일은암호화에서제외된다. Program Files, Microsoft Chart Controls, Windows NT, Program Files (x86), Microsoft Games, Windows Media Player, Windows, Microsoft Office, Windows Mail, Python27, Microsoft.NET, NVIDIA Corporation, Python34, MicrosoftBAF, Adobe, AliWangWang, MSBuild, IObit, Avira, QQMailPlugin, AVAST Software, wamp, Realtek, CCleaner, Skype, AVG, 360, Reference Assemblies, Mozilla Firefox, ATI, Tencent, VirtualDJ, Google, USB Camera2, TeamViewer, Intel, WinRAR, ICQ, Internet Explorer, Windows Sidebar, java, Kaspersky Lab, Windows Portable Devices, Yahoo!, Microsoft Bing Pinyin, Windows Photo Viewer 표 2-4 암호화예외폴더 비너스락커랜섬웨어는파일암호화를완료된후감염 PC 의바탕화면과모든로컬드라이브의루트경 로에 [ 그림 2-5] 와같은랜섬노트 (ReadMe.txt) 를생성한다. 랜섬노트에는파일이암호화되었다는사 16
실과복구를위한비트코인지불방법등을안내하고있다. 일련의과정을모두마친비너스락커는최종적으로 [ 그림 2-6] 과같이랜섬노트의약식내용이담긴감염화면을띄워사용자에게 그림 2-5 랜섬노트 (ReadMe.txt) 감염사실을알린다. 72 시간후에는키가사라진 다는점을강조하고있으며, 사용자가화면종료를시도할경우경고문구를띄워비트코인지불을 유도한다. 초창기에는복구비용으로 500 달러에해당하는비트코인을요구하였으나최근에는 1 비트코인 ( 한화 약 150 만원, 2017 년 3 월기준 ) 을요구하고있다. 그림 2-6 감염화면 ( 좌 ) 및종료시도시팝업되는경고메시지 ( 우 ) 4. 비너스락커대응 ( 감염파일복구방안 ) 앞서언급한바와같이제한적인환경에서비너스락커랜섬웨어는고정키값으로파일을암호화한다. 여기서 제한적인환경 이란 [ 표 2-2] 의 정보전송 과정에서명령제어서버로접속이불가능한경우를의미한다. 17
대칭키방식으로암호화된비너스락커랜섬웨어감염파일들중일부는 [ 그림 2-7] 과같이복구가가능하다. 안랩에서는해당파일들에대한비너스락커랜섬웨어전용복구툴을배포하고있다. 한편, 비너스락커에의해 부분 암호화된파일의 경우, 실제암호화된부분의크기를측정할수없 그림 2-7 암호화된파일 ( 위 ) 및복구된파일 ( 아래 ) 다. 이와관련해안랩의비너스락커랜섬웨어복구툴은해당부분암호화파일들에대해서다음과같 은사항을반영했다. < 부분암호화파일에대한안랩복구툴의추가반영사항 > 1. 현재까지확인된암호화부분을크기, 가짓수만큼복구파일생성 2. 생성된파일명의접두어를통해암호화부분크 기확인가능 ([ 그림 2-8] 의 [512], [1024]) 그림 2-8 부분암호화된파일복구시생성되는파일 3. 생성된파일들중하나의파일이정상복구된파일 4. 다음과같은상황에서는정상복구된파일끝에 가변적인더미데이터생성 [ 그림 2-10] 과같이부분암호화대상파일중원 그림 2-9 생성된파일중하나의파일에서확인가능한정상복구파일 본파일크기가부분암호화크기보다작은경우 에는가변적인더미데이터가생성된다. 18
그림 2-10 원본파일 ( 좌 ) 및더미데이터가추가된복구파일 ( 우 ) 그러나최근유포되는비너스락커랜섬웨어는부분암호화대상파일의조건으로확장자뿐만아니라파 일크기도추가되어위와같은상황이발생하지않는다. 부분암호화파일에대한추가고려사항이반영된안랩의비너스락커랜섬웨어복구툴은안랩닷컴 > 다운로드 > 전용백신에서다운받을수있다. 1 비너스락커랜섬웨어복구툴다운로드바로가기 2017년상반기최대보안위협이될것으로전망되는비너스락커는지속적으로변종을유포하며고도화되고있다. 다만현재비너스락커랜섬웨어감염시일부파일에한해복구가가능하다. 그러나대부분랜섬웨어에감염되어암호화된파일을온전히복구하기는어렵다. 따라서랜섬웨어로인한피해를최소화하기위해 그림 2-11 비너스락커랜섬웨어복구툴 1 http://www.ahnlab.com/kr/site/download/product/downvacc.do?filename=venuslocker_decryptor.exe 19
서는예방이가장중요하다. 특히공격자들이사회공학적기법을이용하여실제사용자와연관된내용 으로스팸메일을발송하고있어첨부파일실행시에더욱각별한주의가필요하다. <AhnLab 진단정보 > V3 제품군에서는비너스락커랜섬웨어를다음과같은진단명으로탐지하고있다. Trojan/Win32.VenusLocker (2016.12.26.08) 20