‘모건’ 랜섬웨어 분석 및 대응 방안

윈도에 로그인한 프로필 라이브러리 공격하는 ‘모건’ 랜섬웨어

윈도에 로그인한 프로필 라이브러리 공격하는 ‘모건’ 랜섬웨어

 

• 모건 랜섬웨어 개요
  • 모건(Morgan) 이라는 이름의 새로운 랜섬웨어가 발견되었으며, 윈도 시스템의 프로필 라이브러리를 공격하여 모든 파일을 .morgan 확장자로 암호화
  • 랜섬노트를 통해 비트코인을 요구하며, 암호화된 파일을 복구하려면 몸값을 지불해야 함
• 랜섬웨어의 동작 방식
  • 로그인된 프로필의 라이브러리를 자동으로 공격하도록 세팅되어 있음
  • 닷넷(.NET) 기반으로 개발되었으며, 중복방지 및 VM 환경 체크 기능이 적용
  • 공격 후 미국의 이미지 저장소인 이머저(imgur) 에서 이미지를 다운로드해 PC 바탕화면에 적용
  • 암호화된 파일은 ‘파일명.확장자.morgan’ 형식으로 변경되며, 랜섬노트는 html, txt, hat 파일로 표시
• 공격 과정
  • 파일 암호화 후 랜섬노트를 통해 비트코인으로 몸값을 요구
  • 암호화된 파일은 접근 불가능하며, 이를 복구하기 위해서는 지불 요구 사항을 따라야 함
  • 암호화된 파일은 랜섬웨어 실행 이후 변경된 확장자 형태로 저장됨
• 대응 방안
  • 기본 관리자 패스워드는 반드시 변경 후 사용
  • 사용하지 않는 관리자 계정 비활성화 및 권한 관리 철저
  • 복잡한 패스워드 사용: 알파벳 대문자, 소문자, 특수문자, 숫자를 조합하여 설정
  • 정기적인 패스워드 변경 및 2차 인증 적용
  • 프로그램 설치 시 주의: 신뢰할 수 없는 소프트웨어 설치 자제
• 결론
  • 모건 랜섬웨어는 윈도 시스템을 타겟으로 한 랜섬웨어로, 암호화된 파일의 복구를 위해서는 보안 예방 조치가 필수적
  • 암호 관리 및 보안 절차 강화를 통해 랜섬웨어 감염을 방지하는 것이 중요