Jerry's BLOG

랜섬웨어(Ransomware)란 ransom과 ware의 합성어이다. 몸값을 요구하는 소프트웨어란 의미로 외국에서 특정 트로이목마나 스파이웨어가 사용자 컴퓨터에 설치되면 사용자 컴퓨터의 데이터(주로 문서 파일)를 암호화 시켜 놓고 이를 해제할려면 일정 금액을 송금하면 해제하는 프로그램을 주는 악성코드를 가리키는 말입니다.

최근 국내 모 업체의 경우 이와 유사한 방법으로 사용자 데이터를 숨기고 결제를 요구하는 기법을 적용해 사용자에게 피해를 주는 업체가 있습니다. 바로 마이컴고(MyComGo)라는 제품 입니다.

해당 프로그램 다른 스파이웨어에 의해 사용자 동의 없이 사용자의 컴퓨터에 다운로드 되고 설치 됩니다.

그리고 작동을 하면 컴퓨터의 모든 동영상 파일 및 국내 대표적인 P2P프로그램의 다운로드 경로의 파일들을 검색하고 루트킷(rootkit)기법으로 숨겨진 폴더에 복사를 하고 삭제를 합니다.

해당 폴더는 루트킷 기법으로 숨겨지고 보호되고 있어 일반적인 방법으로는 접근이 불가능하고, 마이컴고라는 프로그램을 통해서만 접근이 가능합니다.

테스트를 목적으로 숨김 폴더에 2개의 파일을 넣어뒀습니다.

실행하면 다음과 같이 숨김 폴더에 저장된 2개의 파일 목록을 볼 수 있습니다.

파일 목록을 클릭하면, 다음과 같은 메세지 박스를 볼 수 있습니다.

내 컴퓨터에 저장된 나의 데이터인데 본인 인증을 받아야 한다고 합니다. 어이가 없습니다. [본인 인증 하기] 버튼을 눌러 본인 인증을 진행해 보도록 하겠습니다.

뭔가 이상합니다. 이때 나타난 창은 본인 인증이 아니라 휴대폰 소액 결제 창 입니다.
약관이 보이긴 하지만 코딱지만하게 나옵니다. 휴대폰 소액 결제를 본인 인증이라고 속이고 있습니다.

해당 파일의 소스를 보면 다음과 같습니다.

이 프로그램은 나의 허락 없이 설치가 되고, 나의 허락 없이 내 컴퓨터에 저장된 데이터 파일을 숨겨진 폴더에 복사 하고 기존 파일은 삭제 합니다. 그리고 숨겨진 폴더에 접근 하려면 결제를 해야 합니다. 약 2일간의 무료 사용 기간을 주고 그 기간이 지나면 무조건 결제를 통해 접근을 해야 합니다.

프로그램을 삭제 한다고 해서 숨겨진 폴더가 복원되지도 않습니다. 왜냐하면 루트킷 모듈로 숨기고 보호 하고 있기 때문 입니다.

이 폴더는 일반적으로 C드라이브 또는 D드라이브 루트에 _systemcom.go라는 이름의 폴더로 존재 합니다.
일반적인 경우에 이 폴더를 확인하는것도 불가능하며 접근 하는것 조차 불가능 합니다.

숨김 파일 보기 옵션을 적용 했음에도 다음과 같이 폴더를 볼 수 없습니다.
또한 콘솔(console)모드에서도 볼 수 없습니다.

이 폴더에 접근하는 방법은 크게 2가지가 있습니다.
1. [시작] -> [실행] -> C:\_systemcom.go 입력 후 [확인]을 누름

2. 콘솔 모드에서 접근
윈도우 콘솔창(cmd)을 실행한 후, CD\_systemcom.go 로 접근

이렇게 해서 숨겨진 나의 데이터는 무사히 복사할 수 있고, 접근할 수 있습니다.
하지만 근본적인 해결책이 되지 못 합니다.

먼저, 마이컴고를 삭제 합니다. 프로그램 추가 제거에서 삭제가 가능합니다.

근본적으로 루트킷으로 숨겨진 부분을 복원해 보도록 하겠습니다.

루트킷으로 숨겨진 파일 복원에는 여러 방법이 있지만, 가장 쉬운건 IceSword라는 프로그램을 사용하는 방법입니다.

IceSword는 공개 프로그램으로 인터넷에서 쉽게 구할 수 있습니다.
[IceSword 다운로드]

다운로드 받은 후 원하는 폴더에 압축을 풀고, IceSword라는 실행 파일을 실행 하기만 하면 됩니다.

실행 후 왼쪽의 목록중, SSDT라는 항목을 선택 합니다.

그럼 그림과 같이 이상한 문구들을 볼 수 있습니다.

스크롤 시켜 보면, 그림과 같이 빨간색으로 표시되는 부분이 보입니다.

바로 SSDT가 후킹된 정보인데, 이 정보는 특정 함수의 결과를 조작한 것 입니다.
마이컴고의 루트킷 모듈을 보면,
NtQueryDirectoryFile, NtQuerySystemInformation 2개의 함수가 조작된 것을 확인할 수 있습니다.
이 함수는 디렉토리 목록과 시스템에 관련된 정보를 확인할 때 사용하는 함수로 이게 조작되면 특정 폴더가 보이지 않게 됩니다.

이 변경된 정보를 다시 복원시켜주면 됩니다.
방법은 빨간색으로 변경된 부분에 마우스 커서를 갖다놓고 마우스 오른쪽 버튼을 누르면 팝업 메뉴가 나타나는데 여기서 [Restore]를 선택 합니다. 그럼 복원이 됩니다.
총 2개의 함수가 후킹되고 있었으므로, 다른 하나도 찾아서 동일한 방법으로 해제를 시킵니다.

그럼 해당 폴더에 접근이 가능합니다.

또한 재부팅시 이러한 행위를 못 하도록 하기 위해, 루트킷 드라이버 또한 삭제를 해 줘야 합니다.

방법은, 위와 같이 SSDT에서 후킹된 부분이 복원된 후 C:\Windows\system32\drivers\_systemcom.go 폴더를 삭제 합니다.

그리고, 레지스트리 에디터를 실행한 다음,

HKEY_LOCAL_MACHINE\SYSTEM\ControlControlSet\Services\systemmycom 을 삭제 합니다.


위 과정을 거치면 마이컴고가 삭제되며, 숨겨진 폴더 역시 숨김 해제가 됩니다.

사용자의 동의 없이 설치가 되고, 사용자 데이터를 숨겨 놓고 휴대폰 소액 결제를 사용자 인증이라 거짓말을 하고, 그 데이터를 볼려면 돈을 내야 하는게 과연 정당한 사업 방식인가요?
저의 상식으로는 도저히 이해할 수 없습니다.

나의 데이터를 내가 마음대로 하지 못하게 됩니다. 이는 명백하게 사용자의 권리를 침해하는 것 입니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.