20일 안랩에 따르면 ‘갠드크랩 2.1’을 분석한 결과 특정 데이터를 포함한 파일(데이터 파일)이 폴더에 존재하면 해당 폴더는 암호화를 하지 않는 ‘킬 스위치’ 조건을 발견했다. 이는 백신 제품의 여러 탐지 기법 중 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다.
안랩은 이를 역이용해 해당 ‘데이터 파일’이 특정 드라이브의 첫 번째 지점에 존재하면 해당 드라이브 전체가 암호화되지 않는 것을 확인했다. 안랩은 현재 ASEC블로그( asec.ahnlab.com/1130 )에서 해당 ‘데이터 파일’을 제공하고 있다.
사용자들은 안랩이 제공하는 ‘데이터 파일’을 다운로드 받아서 각 드라이브의 첫 번째 지점(각 드라이브 루트경로, ex. C:/ 혹은 D:/)에 복사해 놓으면, ‘갠드크랩 2.1’에 감염되어도 해당 드라이브에 존재하는 파일이 암호화 되는 것을 막을 수 있다.
해당 랜섬웨어가 ‘파일리스 형태(fileless, 감염 시 특정 파일이 생성되지 않는 형태)’로 유포되기 때문에 안랩 V3 제품군에서는 URL 및 패킷을 차단해 대응 중이다. 향후 해당 랜섬웨어에 대한 대응을 더 강화할 예정이다.
이 같은 악성코드 피해를 예방하기 위해서는 ▲수상한 웹사이트 접속 금지 ▲출처가 불분명하거나 불법 콘텐츠 파일 다운로드 금지 ▲OS(운영체제), 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲V3 등 백신 프로그램 최신 업데이트유지 등 ‘생활 보안수칙’을 실행해야 한다.
한창규 안랩 시큐리티대응센터(ASEC) 센터장은 "이번에 안랩이 공개한 방법을 적용하면 대규모 피해는 막을 수 있겠지만 공격자들은 또 다른 우회 방법을 찾아 감염을 유도할 것으로 추정된다”며 “PC사용자들은 백신 업데이트나 주요 SW업데이트 패치 설치 등 생활 보안수칙을 반드시 실행해야 한다”고 당부했다.
![[지스타2024] 수능 끝난 인파로 북적…시연 대기만 2시간 넘어](https://image.ajunews.com/content/image/2024/11/15/20241115175429879608_388_136.jpg)
![[내일날씨] 흐리고 오후부터 전국 곳곳 비소식…낮 기온 18∼23도](https://image.ajunews.com/content/image/2024/11/15/20241115180913550550_388_136.jpg)
![[포토] 2년 만에 한중 정상회담](https://image.ajunews.com/content/image/2024/11/16/20241116022352106727_518_323.jpg)
![[포토] 이재명 대표, 항소할 것…수긍하기 어려운 결론](https://image.ajunews.com/content/image/2024/11/15/20241115153509481363_518_323.jpg)
![[포토] 이재명 대표 1심 선고공판 출석](https://image.ajunews.com/content/image/2024/11/15/20241115143148327390_518_323.jpg)
![[포토] 이재명 1심 선고 앞두고 열린 지지·반대 집회](https://image.ajunews.com/content/image/2024/11/15/20241115133121442343_518_323.jpg)
