Kant's IT/Issue on IT&Security

‘모건’ 랜섬웨어 분석 및 대응 방안

Kant Jo 2024. 9. 30. 09:05

윈도에 로그인한 프로필 라이브러리 공격하는 ‘모건’ 랜섬웨어

 

윈도에 로그인한 프로필 라이브러리 공격하는 ‘모건’ 랜섬웨어

‘모건(Morgan)’이라는 이름을 가진 랜섬웨어가 발견돼 사용자들의 주의가 필요하다. 이 랜섬웨어는 모든 파일을 ‘.morgan’ 확장자로 암호화하는 형태로 추정되는 침해사고를 일으키며 확산하

www.boannews.com

 

  • 모건 랜섬웨어 개요
    • 모건(Morgan) 이라는 이름의 새로운 랜섬웨어가 발견되었으며, 윈도 시스템프로필 라이브러리를 공격하여 모든 파일을 .morgan 확장자로 암호화
    • 랜섬노트를 통해 비트코인을 요구하며, 암호화된 파일을 복구하려면 몸값을 지불해야 함
  • 랜섬웨어의 동작 방식
    • 로그인된 프로필의 라이브러리를 자동으로 공격하도록 세팅되어 있음
    • 닷넷(.NET) 기반으로 개발되었으며, 중복방지 및 VM 환경 체크 기능이 적용
    • 공격 후 미국의 이미지 저장소인 이머저(imgur) 에서 이미지를 다운로드해 PC 바탕화면에 적용
    • 암호화된 파일은 ‘파일명.확장자.morgan’ 형식으로 변경되며, 랜섬노트는 html, txt, hat 파일로 표시
  • 공격 과정
    • 파일 암호화 후 랜섬노트를 통해 비트코인으로 몸값을 요구
    • 암호화된 파일은 접근 불가능하며, 이를 복구하기 위해서는 지불 요구 사항을 따라야 함
    • 암호화된 파일은 랜섬웨어 실행 이후 변경된 확장자 형태로 저장됨
  • 대응 방안
    • 기본 관리자 패스워드는 반드시 변경 후 사용
    • 사용하지 않는 관리자 계정 비활성화 및 권한 관리 철저
    • 복잡한 패스워드 사용: 알파벳 대문자, 소문자, 특수문자, 숫자를 조합하여 설정
    • 정기적인 패스워드 변경2차 인증 적용
    • 프로그램 설치 시 주의: 신뢰할 수 없는 소프트웨어 설치 자제
  • 결론
    • 모건 랜섬웨어윈도 시스템을 타겟으로 한 랜섬웨어로, 암호화된 파일의 복구를 위해서는 보안 예방 조치가 필수적
    • 암호 관리보안 절차 강화를 통해 랜섬웨어 감염을 방지하는 것이 중요