에브리존 화이트디펜더, 솔라 랜섬웨어 침해사고 분석 및 발표
[보안뉴스 김영명 기자] 감염된 컴퓨터의 모든 파일을 ‘.sola’ 확장자로 암호화하는 형태로 추정되는 솔라(sola) 랜섬웨어가 최근 발견돼 사용자들의 주의가 필요하다. 이번에 발견된 솔라 랜섬웨어는 ‘파일명.확장자.sola’의 포맷으로 모든 파일을 암호화해 변경하는 모습을 보이고 있다.
▲재실행되는 내부 코드[자료=에브리존 화이트디펜더]
에브리존 화이트디펜더 측은 최근 솔라 랜섬웨어에 대해 분석해 발표했다. 솔라 랜섬웨어는 C++ 기반 랜섬웨어로, 최초로 실행하게 되면 ‘--food’라는 인자 값으로 재실행된다. 특히 이 랜섬웨어는 SHGetKnownFolderPath라는 API를 이용해 다른 프로필상의 공개 경로도 공격대상에 포함하고 있다. SHGetKnownFolderPath는 폴더의 KNOWNFOLDERID로 식별된 알려진 폴더의 전체 경로를 검색하는 함수를 말한다. 이 랜섬웨어는 공개 경로까지 모두 검색한 다음에는 추가로 A~Z까지의 컴퓨터 내 전체 드라이브에 대해 암호화가 진행된다.
▲기타 프로필 경로 확인 및 드라이브 검색 후 암호화 진행[자료=에브리존 화이트디펜더]
솔라 랜섬웨어 감염된 이후의 모습과 랜섬노트 내용을 살펴보자. 먼저 랜섬노트는 자체출력되어 배경화면에 띄워진다. 해당 랜섬웨어 감염되면 모든 파일이 암호화되는데 암호화 형식은 ‘파일명.확장자.sola’으로 파일들을 변경한다.
랜섬웨어에 감염된 이후에는 몸값을 요구하는 랜섬노트 메시지가 html, txt, hat 파일로 데스크톱에 표시된다. 파일 잠금을 해제하려면 몸값을 요구하게 되는데 대부분 비트코인을 요구하고 있다.
한편 한국인터넷진흥원(KISA)은 랜섬웨어 감염 방지를 위한 방법으로 △외부 접속 관리 강화 △계정 관리 강화 △백업 관리 강화 △이메일 보안 강화 등을 제시했다. 이어 “랜섬웨어 감염을 예방하기 위해서는 자동 업데이트를 활성화해 운영체제와 소프트웨어에 최신 보안패치를 적용해야 한다”며 “바이러스 백신 설치 및 최신의 업데이트 상태를 유지하는 것도 중요하다”고 설명했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>