2024-03-29 11:00 (금)
클롭 랜섬웨어, 암호화 위해 윈도우 디펜더 및 백신 작동 정지시켜
상태바
클롭 랜섬웨어, 암호화 위해 윈도우 디펜더 및 백신 작동 정지시켜
  • 길민권 기자
  • 승인 2019.11.25 10:57
이 기사를 공유합니다

프랑스 병원과 벨기에 대학 등 클롭 랜섬웨어 피해 발생

윈도우 디펜더와 보안기능 작동을 멈추게 하는 랜섬웨어가 발견됐다. 각별한 주의가 요구된다. 해외 피해 사례도 올라오고 있다.

Clop 랜섬웨어가 피해자의 데이터를 암호화하기 위해서 윈도우 디펜더 및 마이크로소프트 시큐리티 에센셜, Malwarebytes의 백신을 비활성화하려 시도하는 것으로 나타났다.

Clop은 CryptoMix 랜섬웨어의 변종이다. Clop 확장자를 사용하며 랜섬노트의 이름은 ClopReadMe.txt이며 "Dont Worry C|0P"이라는 메시지를 포함하고 있다. 이러한 이유로 이는 Clop 랜섬웨어로 명명되었다.

보안 연구원에 따르면, Clop 공격자들은 윈도우 디펜더를 비활성화하기 위해 암호화를 시작하기 전 다양한 보안 소프트웨어 비활성화를 시도하는 프로그램을 시도한다.

이 작업은 행위 알고리즘이 파일 암호화를 탐지해 랜섬웨어를 차단하는 것을 막기 위한 것이다.

이 랜섬웨어는 윈도우 디펜더를 비활성화 하기 위해 행위 모니터링, 실시간 보호, 마이크로소프트에 샘플 업로드, 변조 보호, 클라우드 탐지, 안티-스파이웨어 탐지와 같은 기능을 비활성화하는 다양한 레지스트리 값을 설정한다.

다행인 것은, 윈도우 10에서 변조 보호 기능을 활성화한 상태일 경우, 기본 구성으로 재설정되며 윈도우 디펜더가 비활성화 되지 않는다는 것이다.

하지만 만약 사용자가 변조 보호 기능을 사용하지 않는다면, 윈도우 디펜더를 비활성화 해 랜섬웨어를 탐지하지 못하도록 한다.

Clop 랜섬웨어은 오래된 컴퓨터에서 마이크로소프트 시큐리티 에센셜을 삭제하기도 한다. CryptoMix는 관리자 권한으로 실행되기 때문에, 쉽게 해당 소프트웨어를 제거할 수 있다.

한편 프랑스 Hospital Center University De Rouen이 Clop 랜섬웨어의 공격을 받아 서비스 중 일부가 영향을 받은 바 있다.

또 지난달 벨기에 대학 또한 Clop에 공격을 받아 지불 시스템, 영상 강의 아카이브, 메일링 시스템이 영향을 받기도 했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★