Cryptolocker는 USB 드라이브를 통해 확산

연구원들은 원래 버전보다 더 많은 사용자를 감염시킬 수있는 CryptoLocker 랜섬웨어의 새로운 변종을 발견했습니다.

CryptoLocker의 범죄자들은 ​​랜섬웨어를 트로이 목마에서 USB 확산 웜으로 수정 한 것으로 보입니다. Trend Micro의 연구원들은 최근 Security Intelligence 블로그에 썼습니다. 트로이 목마로서 CryptoLocker는 사용자 컴퓨터를 감염시키기 위해 자체적으로 확산 될 수 없었습니다. 사용자는 전자 메일 첨부 파일을 열거 나 전자 메일의 링크를 클릭하여 컴퓨터에서 자신을 실행하고 설치해야했습니다. 그러나 웜으로서 CryptoLocker는 자체 복제 및 이동식 드라이브를 통해 확산 될 수 있습니다.

새로 고침이 필요한 경우 CryptoLocker는 랜섬웨어입니다. 이것은 컴퓨터의 파일을 잠그고 파일 잠금을 해제하기 위해 몸값을 요구하는 맬웨어 유형입니다. 파일이 암호화되므로 맬웨어를 제거해도 파일이 해제되지 않습니다. 파일을 되 찾을 수있는 유일한 방법은 범죄자가 선택한 양 (최근 공격이 BitCoins에 대한 요구를 특징으로 함)에 관계없이 지불하거나 컴퓨터를 지우고 백업에서 복원하는 것입니다.

트렌드 마이크로는이 새로운 버전의 악성 코드가 Adobe Photoshop 및 P2P (Peer-to-Peer) 파일 공유 사이트의 Microsoft Office와 같은 소프트웨어를위한 액티베이터로 가장했다고 밝혔다. 블로그 게시물에 따르면 악성 코드를 P2P 사이트에 업로드하면 악의적 인 사용자가 스팸 메시지를 사용하지 않고도 시스템을 쉽게 감염시킬 수 있습니다.

보안 연구원 인 Graham Cluley는“이 새로운 변종을 사용하는 악의적 인 사용자는 스팸 이메일 캠페인을 폭로하지 않아도 악성 코드를 유포 할 수 있습니다.

웜이 어떻게 감염 되는가

간단한 시나리오를 상상해보십시오. USB 드라이브를 빌려 한 컴퓨터에서 다른 컴퓨터로 파일을 옮기거나 다른 사람에게 파일 사본을 제공합니다. 해당 드라이브가 CryptoLocker 웜에 감염된 경우 드라이브가 연결된 모든 컴퓨터가 감염됩니다. 해당 컴퓨터가 네트워크에 연결되어 있으면 Cryptolocker 작업에서 다른 연결된 드라이브를 찾을 수 있습니다.

Cluley는“CryptoLocker가 조직 전체의 PC를보다 쉽게 ​​감염시킬 수 있습니다.

그러나이 새로운 변종에 대한 좋은 징조가 있습니다. 원래 CryptoLocker 맬웨어는 도메인 생성 알고리즘 (DGA)을 사용하여 명령 및 제어 (C & C) 서버에 연결하기 위해 많은 수의 도메인 이름을 주기적으로 생성했습니다. 반면 트렌드 마이크로는 CryptoLocker의 새로운 버전은 명령 및 제어 서버의 URL이 랜섬웨어에 하드 코딩되기 때문에 DGA를 사용하지 않는다고 말했다. 이를 통해 관련 악성 URL을보다 쉽게 ​​탐지하고 차단할 수 있습니다.

그러나 이는 악성 코드가 여전히 개선되고 개선되고있는 중일 수 있으며, 이후 버전의 웜에는 DGA 기능이있을 수 있다고 Trend Micro는 경고했습니다. DGA가 포함되면 랜섬웨어를 탐지하고 차단하기가 더 어려워집니다.

어떻게해야합니까?

Trend Micro와 Cluley는 수행 할 작업에 대한 몇 가지 권장 사항이 있습니다.

사용자는 P2P 사이트를 사용하여 소프트웨어 사본을 얻지 않고 공식 사이트 나 유명 사이트를 고수하지 않아야합니다.

또한 사용자는 USB 드라이브를 컴퓨터에 연결하는 데 매우주의해야합니다. 주위에 누워있는 것이 있으면 플러그를 꽂지 마십시오.

Cluley는 "안전한 컴퓨팅 관행을 준수하고 컴퓨터에서 실행되는 작업에주의를 기울여야하며 안티 바이러스를 최신 상태로 유지하는 것을 잊지 마십시오."라고 Cluley는 말했습니다.