외국에서는 이미 '사상 최강의 랜섬웨어'라고 불리우는 '크립토락커(CryptoLocker)'가 휩쓸며 컴퓨터 내의 모든 문서 및 이미지에 RSA-2048Bit의 암호를 걸어 사용자로 하여금 데이터를 인질로 금품을 요구하여 상당한 피해를 보았다고 하며, 현재 우리나라에서도 일부 네티즌을 비롯하여 심지어 은행, 증권사에까지 크립토락커가 발견되는 등의 국내에도 점점 발견이 되는 것으로 추정이 됩니다만 현재 크립토락커(CryptoLocker) 다소 감염 속도가 느려진 것으로 보입니다.



>> 2013.11.12 [아주경제] '데이터 인질로 금품요구(?),' 랜섬웨어, 한달새 3배 이상 증가

>> 2014.01.23 [전자신문] 랜섬웨어 '크립토락커' 국내 증권사에서 발견... 야후 메신지로 전파 



더불어 사실상 크립토락커를 악성코드 제거툴로 제거하였다고 하더라도 크립토락커의 데이터 잠금 기능으로 인하여 암호화된 파일은 쉽게 복구할 수도 없어 '감염 후 대책 방안'보다는 '감염 이전의 예방법' 쪽으로 기울어지고 있습니다. 이러한 예방법 속에서 나온게 바로 'CryptoPrevent' 프로그램입니다. 이 프로그램은 국내에서는 크립토락커 악성코드의 감염이 외국처럼 활성화되어 있지 않다보니 크립토락커 악성코드에 대한 언급은 있어도 예방 프로그램 등은 검색이 되지 않을 정도로 언급이 되지 않아 본 블로그에서 언급해보겠습니다.



CryptoPrevent 간단 소개


제작자 홈페이지 : http://www.foolishit.com/vb6-projects/cryptoprevent/

지원 운영체제 : Windows OS(XP, Vista, 7, 8, and 8.1) >>  64비트 호환여부는 확인할 길이 없음..ㅠ


CryptoPrevent 포터블 버젼(무설치 버젼) 다운

CryptoPrevent 설치 버젼 다운



> 제작자 프로그램 소개 영문판


CryptoPrevent is a tiny utility to lock down any Windows OS (XP, Vista, 7, 8, and 8.1) to prevent infection by the Cryptolocker malware or ‘ransomware’, which encrypts personal files and then offers decryption for a paid ransom.


Incidentally, due to the way that CryptoPrevent works, it actually protects against a wide variety of malware, not just Cryptolocker!


> 본인이 직접 발번역한 한국어 버전


'CryptoPrevent'는 개인 파일을 암호화하고 암호화된 파일의 해독을 위해 금품을 요구하는 크립토락커(Cryptolocker) 악성코드 혹은 '랜섬웨어'로부터 감염을 방지하기 위해 윈도우즈 운영체제(XP, Vista, 7, 8, and 8.1)에 제재를 가하는(?) 자그마한 유틸리티입니다. 덧붙여 말하자면, CryptoPrevent가 작동되는 방식 때문에, 사실 크립토락커(Cryptolocker)뿐만 아니라 넓은 범위의 악성코드로부터 지킬 수 있습니다.(it의 주어가 뭐지?)



>> 설치 방법 : 포터블 버젼은 압축풀고 CryptoPrevent.exe를 실행하면 되고, 설치버젼은 CryptoPreventSetup.exe를 실행해서 설치하면 됩니다.^^ 설치버젼도 영어 조금만 할 줄 알면 그냥 설치할 수 있을 정도로 쉽게 무난하게 되어있습니다.^^




>> CryptoPrevent Main




이제 CryptoPrevent의 가장 핵심적인 기술인 Cryptolocker Malware Prevention Mechanism(크립토락커 악성코드 방지 구조)에 대해 설명을 하겠습니다. 제작자가 밝힌 바 CryptoPrevent는 '인위적으로 특정 위치에서 특정 실행 파일을 차단하기 위해 레지스트리에 그룹 정책 개체를 삽입합니다. 참고로 CryptoPrevent의 권한 정책은 윈도우에 내장되어 있는 '그룹 정책'에는 나타나지 않습니다.^^




1) Protect %appdata% / %localappdata% / Recycle Bin크립토락커 뿐만 아니라 다른 악성코드들이 즐겨 실행되는 부분인 %appdata%, %localappdata%, Recycle Bin(휴지통) 내에서의 생성 및 설치를 차단합니다.


Windows 7 기준

* %AppData% = C:\Users\(사용자 계정)\AppData\Roaming, Local, LocalLow



2) Protect %UserProfile% / %programdata% / Startup Folder - 사용자 계정 폴더(C:\Users\(사용자 계정))과 C:\ProgramData\, 시작프로그램 항목을 프로텍트합니다.


3) Guard Against Fake File Extension Executables & RLO - 말 그대로 동영상 파일을 가장한 실행파일이라든가 그림 파일을 가장한 화면보호기 파일 등을 확인하여 막아주는 기술입니다.


가령 더 쉽게 설명하자면 일반적인 파일을 x,y로 설명하자면 얍얍얍.hwp, 올올ㅋ.pdf, 즉 얍얍얍.x, 올올ㅋ.x로 프로그램에서는 파악이 되며 이를 가짜 파일로 인식하지는 않지만 확장자를 속이는 악성코드의 구조, 얍얍얍.hwp.exe, 올올ㅋ.pdf.pif식을 얍얍얍.x.y, 올올ㅋ.x.y로 인식하여 아래의 x.y 조합을 통하여 속이는 구조들을 모두 차단해줍니다.


x = pdf, doc, docx, xls, xlsx, ppt, pptx, txt, rtf, zip, rar, 7z, jpeg, jpg, png, gif, avi, mp3, wma, wmv, wav, divx, mp4

y = exe, com, scr, and pif.


4) Block Temp Extracted Executables in Archive Files - 임시 폴더(%temp%)에 압축을 푸는 실행파일을 차단합니다. 해당 기술의 경우 제작자 측에서 가급적 '체크해제'되어 있는, 즉 기본값을 권장합니다. 왜냐하면 이러한 패턴을 이용하는 정상적인 프로그램도 설치에 방해가 될 가능성이 높기 때문입니다.


%temp%\rar* directories

%temp%\7z* directories

%temp%\wz* directories

%temp%\*.zip directories


5) Whitelist EXEs already located in all blocked locations. - 위의 4가지 영역, 즉 막은 위치에 위치해 있는 실행파일들을 화이트리스트합니다.


** 화이트리스트 처리 방법에 관하여 : CryptoLocker에서 위에서 막은 영역, %Appdata%, %programdata%, %userprofile%, 시작프로그램 항목 영역에 대하여 예외를 설정하는 걸 말하는데 해당되는 영역에 실행파일을 체크한 뒤, Whitelist EXEs currently in all blocked locations을 누르면 해당 영역의 실행파일은 CryptoLocker로부터 예외가 됩니다.





* 해당 프로그램의 평가 : CryptoPrevent의 경우 크립토락커(CryptoLocker)의 과거 감염 패턴을 파악하여 감염이 될 법한 루트에 파일을 실행하지 못하게 유도하니 과거에 발견된 크립토락커(CryyptoLocker)에는 상당히 강력하게 방어할 수 있습니다. 이 부분은 제가 가지고 있는 크립토락커 샘플 4종을 토대로 실험을 하였으며 모두 막아냈습니다.^^ 


하지만 아쉽게도 이러한 패턴을 모두 우회하는 크립토락커 변종이 나올 경우 속수무책으로 당할 수 밖에 없습니다. 더불어 해당 프로그램만을 믿고 보안에 취약해질 수 있는 안일한 보안 의식도 가질 수 있으며, 일부 프로그램 사용간 막은 구역에 대한 화이티리스트 미설정으로 인하여 정상적인 프로그램 설치에 문제가 생길 여지가 있습니다.


개인적으로 크립토락커을 권한 설정을 통해 막는 부분은 아주 좋았으나, 아쉽게도 크립토락커(CryptoLocker)를 막겠다고 특정 영역에 실행 권한 설정하여 막는 프로그램을 굳이 쓸 필요까지 있나 싶습니다.



## 이상하게 국내에 크립토락커 감염자가 그렇게 많지 않은 것으로 추정이 됨에도 불구하고, 본 포스트를 찾는 분들이 많은데 무조건 막는게 좋다는 이상한 인식 가지지 말고 장점과 단점을 골고루 분석해주셨으면 합니다. 더불어 이를 난독하여 해당 프로그램을 크립로락커 제거 프로그램이라고 오인하지 말길 바랍니다.



참조 및 출처


1. http://www.foolishit.com/vb6-projects/cryptoprevent/


2. http://askleo.com/why-havent-you-mentioned-cryptoprevent/


3, 아주경제, 전자신문 신문기사의 경우 저작권법 의거 제목만 참조하여 해당 기사로 가는 링크로 걸었습니다.

Posted by Ec0nomist

댓글을 달아 주세요