"유럽의 병원들과 대학교에 등에 피해를 주고 있는 클롭 랜섬웨어"
새로운 윈도우10의 윈도우 디펜더와 보안기능 작동을 멈추게 하는 랜섬웨어가 등장하여 각별한 주의가 요구된다. 해외 피해 사례도 올라오고 있습니다.
Clop 랜섬웨어가 피해자의 데이터를 암호화하기 위해서 윈도우 디펜더 및 마이크로소프트 시큐리티 에센셜, Malwarebytes의 백신을 비활성화하려 시도하는 것으로 보인다는데요.
이번 Clop은 CryptoMix 랜섬웨어의 변종으로 Clop 확장자를 사용하며 랜섬노트의 이름은 ClopReadMe.txt이며 "Dont Worry C|0P"이라는 메시지를 포함하고 있고 이때문에 이는 Clop 랜섬웨어로 명칭되었죠.
관계자에 따르면, Clop 공격자들은 윈도우 디펜더를 비활성화하기 위해 암호화를 시작하기 전 다양한 보안 소프트웨어 비활성화를 시도하는 프로그램을 시도하는데 이같은 작업은 행위 알고리즘이 파일 암호화를 탐지해 랜섬웨어를 차단하는 것을 막기 위한 것이라 합니다.
또한 윈도우 디펜더를 비활성화 하기 위해 행위 모니터링, 실시간 보호, 마이크로소프트에 샘플 업로드, 변조 보호, 클라우드 탐지, 안티-스파이웨어 탐지와 같은 기능을 비활성화하는 다양한 레지스트리 값을 설정하는데요.
그나마 다행인 것은, 윈도우 10에서 변조 보호 기능을 활성화한 상태일 경우, 기본 구성으로 재설정되며 윈도우 디펜더가 비활성화 되지 않는다고 하네요.
그래도 PC 사용자가 변조 보호 기능을 사용하지 않는다면, 윈도우 디펜더를 비활성화 해 랜섬웨어를 탐지하지 못하도록 하며 오래된 PC 에서 마이크로소프트 시큐리티 에센셜을 삭제하기도 하는데 CryptoMix는 관리자 권한으로 실행되기 때문에, 쉽게 해당 소프트웨어를 제거할 수 있다 합니다.