어느 정도 기술에 정통한 사람이라면 시스템이 감염되었다는 소식을 들을 때마다 일반적으로 가장 안전한 기능을 가로채는 실행 가능한 코드를 떠올릴 것입니다. 감염은 다양한 방식으로 퍼질 수 있지만 한 가지는 확실합니다. 바이러스와 실행 코드 사이의 연결이 매우 강력하기 때문에 JPEG, PNG 이미지, MP3 파일과 같은 파일 형식으로부터 자신을 보호해야 한다고 반드시 생각하지는 않습니다. 아니면 우리는? 이전 주장과 달리, 2016년 11월 27일 Engadget의 Jon Fingas가 보고한 바와 같이 내가 언급한 처음 두 파일 형식은 Facebook과 LinkedIn의 소셜 미디어 메시징 시스템을 통해 컴퓨터를 감염시키는 데 사용되었습니다.
무슨 일이야?
2016년 2월 18일 시만텍은 웹을 통해 유포되는 새로운 변종 랜섬웨어로 판명된 다소 이상한 소프트웨어를 발견했습니다(랜섬웨어가 무엇인지 모르는 경우 여기 참조). Locky라고 알려진 이 특정 변종은 2016년 1월에서 3월 사이에 매주 약 1만 명에서 2만 명의 희생자가 첨부 파일이 있는 스팸 이메일을 통해 확산되었습니다. 바이러스가 이런 식으로 확산되는 것을 보는 것이 반드시 충격적인 것은 아닙니다. ZIP 첨부 파일이 있는 이메일 메시지는 90년대 초반부터 접종 전략이었습니다.
그런데 다른 일이 일어났습니다.
2016년 11월 말경 Facebook 및 LinkedIn 사용자는 이미지 첨부 파일이 포함된 메시지를 보기 시작했습니다. 그들은 다소 안전한 것처럼 보이지만 열었을 때 피해자가 미화 200달러에서 400달러 사이의 몸값을 지불한 경우에만 시스템 파일을 암호화하고 잠금을 해제하는 새로운 종류의 Locky가 드러났습니다. 이 중 가장 충격적인 부분은 바이러스가 기존의 실행 코드가 아닌 이미지를 통해 퍼졌다는 점입니다.
모든 것이 보이는 것과 같지는 않습니다
이미지가 소셜 미디어에서 사람들을 감염시키는 데 확실히 사용되고 있지만 실제로는 그렇지 않습니다! Locky의 메커니즘과 그 미끄러운 방식에 대해 조금 더 자세히 살펴보았는데, "당신을 노리는" JPEG 파일보다 더 많은 이야기가 있는 것 같습니다.
먼저, 누군가에게 멀웨어를 보낼 때 배포하는 것은 인상입니다. 소셜 미디어에서 누군가에게 이미지를 제공하고 있다는 것입니다. 특정 파일을 이미지 아이콘과 함께 전송하도록 허용하는 Facebook 및 LinkedIn 코드의 결함이 있어 수신자가 누군가의 애완용 고양이 또는 새 정원의 무해한 사진을 받았다고 믿게 만듭니다. 수신자가 실제로 다운로드하는 것은 1999년부터 사용된 아주 오래된 Windows용 실행 프로그램인 HTA 파일입니다(90년대 소프트웨어가 완전히 엉망이었던 이유 목록에 추가할 또 다른 항목).
기본적으로 HTA 애플리케이션은 'mshta.exe' 위에 계층화되고 관리자가 시스템을 빠르게 변경하는 데 사용했다는 점을 제외하면 EXE와 비슷합니다. 실행 중인 시스템에 대한 완전한 "신뢰"가 있기 때문에 코드에서 허용하는 모든 혼란을 자유롭게 할 수 있습니다.
감염을 예방하는 방법
Locky에 감염되면 안전 모드로 부팅하는 동안 제거할 수 있는 맬웨어 방지 애플리케이션을 찾는 것 외에는 할 수 있는 일이 없습니다. 그러나 처음에 감염을 예방하는 것은 오히려 쉽습니다. Facebook에서 이미지 파일을 받았는데 아래 이미지와 같은 미리보기가 없으면 다운로드하라는 메시지가 표시될 수 있습니다.
파일을 다운로드한 후 확장자를 확인합니다. JPG, JPEG, PNG 또는 이미지처럼 보이는 것이 없으면 바이러스일 수 있습니다. Locky는 HTA 형식으로 표시되지만 다른 유형의 실행 코드(.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI 등)에도 나타날 수 있습니다. 파일 확장자를 주시하고 모르는 항목에 주의하세요. 받은 파일이 이미지인지 확인하는 확실한 방법 중 하나는 표시 스타일을 '큰 아이콘'으로 변경할 때 Windows 탐색기에서 미리보기를 제공하는지 확인하는 것입니다.
공유할 다른 유용한 조언이 있습니까? 댓글로 알려주세요!