암호화 전에 백신부터 없애는 랜섬웨어 변종 등장

‘AV크립트’, 미완성 랜섬웨어나 새로운 유형으로 발견돼
윈도우 디펜더 및 멀웨어바이츠 식별 및 제거하려고 시도

[보안뉴스 오다인 기자] 본격적인 공격을 시작하기 전에 타깃 컴퓨터상의 백신부터 삭제하도록 설계된 랜섬웨어 변종이 새롭게 발견됐다.

[이미지=iclickart]

로렌스 아브람스(Lawrence Abrams), 멀웨어헌터팀(MalwareHunterTeam), 마이클 길레스피(Michael Gillespie) 등으로 구성된 연구진은 이 같은 멀웨어를 발견하고 IT 전문매체 블리핑컴퓨터(BleepingComputer)에 보고했다.

연구진이 ‘AV크립트(AVCrypt)’라고 명명한 이 멀웨어는 공격 초기에 백신 패키지인 윈도우 디펜더(Windows Defender)와 멀웨어바이츠(Malwarebytes)에 필요한 윈도우 서비스들을 식별하고 제거하려고 시도한다.

블리핑컴퓨터 기사에서 아브람스는 AV크립트에 중요한 부분이 빠졌기 때문에 완전하지 못한 멀웨어로 보인다고 말했다. AV크립트는 명령 및 제어(C&C) 서버와 통신하고 파일을 암호화하긴 하지만 해독화를 위한 몸값 지불 지시나 방법을 전혀 명시하지 않았다는 것이다.

AV크립트와 관련해 일부 트위터리안은 백신 패키지를 비활성화시킬 수 있는 멀웨어들이 있다고 지적하면서도 이런 활동이 랜섬웨어에서 나타난 것은 처음이라고 짚었다. 더군다나 AV크립트는 멀웨어바이츠와 윈도우 디펜더라는 특정 백신을 겨냥한다는 점이 다르다고 이들은 덧붙였다. 윈도우 디펜더는 마이크로소프트가 기본으로 제공하는 백신 패키지로, 이용자가 기타 백신 소프트웨어를 설치하지 않겠다고 결정할 경우 활성화된다.

트위터 대화에서 멀웨어헌터팀은 AV크립트가 기기 전원을 꺼서 안전성을 유지하려는 시도를 막기 위해 셧다운 시퀀스(shutdown sequence) 명령을 중단시킬 것이라고도 지적했다. 이 같은 행위들은 긴급 복구를 위한 표준적인 절차들을 상당량 불구화할 수 있다.

AV크립트는 새로운 유형의 랜섬웨어 변종이지만 앞서 존재했던 다른 멀웨어 코드들과 매우 높은 유사성을 띠고 있다. 마이클 길레스피와의 트위터 대화에서 마이크로소프트의 윈도우 디펜더 시큐리티 인텔리전스는 “윈도우 디펜더 AV는 클라우드 기반의 선제적인 보호를 활용해 처음부터 이 랜섬웨어(AV크립트)를 차단했다”고 설명했다. 이어 “이 랜섬웨어의 인스턴스가 매우 제한적이고 아직 개발 중인 것으로 보인다”면서 마이크로소프트는 “이를 ‘Ransom:Win32/Pactelung.A’로 탐지하고 있다”고 밝혔다.

AV크립트의 발견은 아주 새롭지만 개발이 끝나지 않은 랜섬웨어가 우연히 세상에 드러나게 된 상황으로 요약된다. AV크립트의 전달 매커니즘은 악성 스팸, 드라이브 바이(drive-by) URL, 불법 복제된 소프트웨어 등 여타 랜섬웨어의 기본 수법과 비슷하다. 아직까지는 기존의 보안 애플리케이션들로도 AV크립트를 충분히 차단할 수 있을 것이라고 전문가들은 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다