(→피해 사례) |
|||
| 24번째 줄: | 24번째 줄: | ||
* [[2015년]] [[7월]]경, [[만화가]]·만화업체들 사이에서 랜섬웨어 피해를 입는 일이 속출했다. 일부 작가는 그간 작업물이 모두 암호화되는 큰 피해를 입기도 했다.<ref>[http://www.webtooninsight.co.kr/Forum/Content/1667 웹툰 업체 및 작가들 사이에 퍼지는 랜섬웨어 주의보, 피해를 예방하시길 바라며], 웹툰인사이트, 2015.07.18.</ref> | * [[2015년]] [[7월]]경, [[만화가]]·만화업체들 사이에서 랜섬웨어 피해를 입는 일이 속출했다. 일부 작가는 그간 작업물이 모두 암호화되는 큰 피해를 입기도 했다.<ref>[http://www.webtooninsight.co.kr/Forum/Content/1667 웹툰 업체 및 작가들 사이에 퍼지는 랜섬웨어 주의보, 피해를 예방하시길 바라며], 웹툰인사이트, 2015.07.18.</ref> | ||
* [[2016년]] [[6월 3일]]부터 [[6월 7일]]까지 커뮤니티 사이트 [[뽐뿌]]에서 광고배너를 통해 CryptXXX 계열 랜섬웨어가 유포되었다.<ref>[https://rancert.com/bbs/bbs.php?bbs_id=notice&mode=view&id=42 [긴급공지] CryptXXX 계열 UltraCrypter( Cryp1, Crypz )랜섬웨어 확산], 한국랜섬웨어침해대응센터, 2016.06.07.</ref> | * [[2016년]] [[6월 3일]]부터 [[6월 7일]]까지 커뮤니티 사이트 [[뽐뿌]]에서 광고배너를 통해 CryptXXX 계열 랜섬웨어가 유포되었다.<ref>[https://rancert.com/bbs/bbs.php?bbs_id=notice&mode=view&id=42 [긴급공지] CryptXXX 계열 UltraCrypter( Cryp1, Crypz )랜섬웨어 확산], 한국랜섬웨어침해대응센터, 2016.06.07.</ref> | ||
* [[2017년]] [[5월]] 경 윈도우 SMB 취약점을 통해 워너크라이 랜섬웨어가 유포되었다. 취약점을 사용했기 때문에 사용자가 대처하기 어려웠다. 윈도우 비스타 이상은 3개월 이전에 취약점 패치가 배포되었으나, 미설치한 유저가 많았고 그 이전 운영체제는 패치가 배포되지 않아 피해를 키웠다. 이에 따라 마이크로소프트는 윈도우 XP 등 지원이 중단된 운영체제의 패치를 5월 13일에 긴급배포하였다. | |||
==예방법== | ==예방법== | ||
2017년 5월 14일 (일) 20:48 판
개요
랜섬웨어란 몸값을 뜻하는 ransom과 소프트웨어를 뜻하는 ware가 합쳐져 만들어진 단어이며 국내에는 2010년대 중반부터 돌기 시작했다.
이 악성코드에 감염되면 컴퓨터의 파일들이 암호화되며니 기지 다 내꺼다요, 몸값을 내면 암호화를 풀어주겠다는 텍스트라 출력된다. 요구하는 몸값은 한국에서 가장 최근에 문제가 된 크립토락커가 40만 혹은 50만원. 몸값을 내면 인질이 된 자료를 풀어줄...리가 없다. 감염된 파일의 복원 성공률은 겨우 약 3%에 불과하다.
2015년 5월 1일 컴퓨터 백신 업체 안랩에 따르면 디도스 기능이 추가된 변종 랜섬웨어도 발견됐다고 한다.[1] 또한 스마트폰 등 모바일 기기를 대상으로 한 랜섬웨어도 발견됐다.[2]
증상
랜섬웨어에 감염되면, 한동안 CPU 쿨러가 미친 듯이 회전하며 하드디스크를 읽는다. 그리고 있는 대로 메모리를 끌어쓰기 시작하는데, 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만드는 경우도 있다.
그 다음에는 컴퓨터 성능과 용량에 따라 달라지지만 보통 10분에서 1~2시간 사이에 전체 파일 찾기를 실행한다. 보통 C&C 서버에서 RSA 공개키를 받아온 다음 파일 데이터들을 전체 검색하듯이 찾기 시작한다.
이렇게 파일 목록과 RSA 공개키가 확보되면 파일 각각에 대한 AES 키를 매번 생성하여 파일을 암호화하기 시작한다. 파일 내용을 암호화하고 파일로 다시 쓸 때, 보통 이 때 사용한 AES 키를 아까 서버에서 받아온 RSA 공개키를 이용해서 암호화하여 같이 저장한다. 따라서 공격자만 갖고 있는 비밀키가 있어야 이 AES 키를 알아내서 복호화를 할 수 있다.
마지막으로, 암호화가 완료되었다면 폴더마다 파일을 복구하고 싶으면 돈을 지불하라는 HTML 파일, 텍스트 파일, 이미지 파일을 생성한다. 경우에 따라서는 바탕 화면 배경이 해당 이미지 파일로 변경되는 경우도 있다. 또 이 순간부터 중요한 시스템 프로그램이 열리지 않는다.
피해 사례
플래시 플레이어와 인터넷 익스플로러의 보안취약점을 악용한 사례가 많은데, 이 두 가지가 조합되는 외부 광고를 단 사이트에서 피해 사례가 많이 발견된다.
- 2015년 4월 21일 커뮤니티 사이트 클리앙에서 광고배너를 통해 랜섬웨어가 유포되었다.
- 2015년 7월경, 만화가·만화업체들 사이에서 랜섬웨어 피해를 입는 일이 속출했다. 일부 작가는 그간 작업물이 모두 암호화되는 큰 피해를 입기도 했다.[3]
- 2016년 6월 3일부터 6월 7일까지 커뮤니티 사이트 뽐뿌에서 광고배너를 통해 CryptXXX 계열 랜섬웨어가 유포되었다.[4]
- 2017년 5월 경 윈도우 SMB 취약점을 통해 워너크라이 랜섬웨어가 유포되었다. 취약점을 사용했기 때문에 사용자가 대처하기 어려웠다. 윈도우 비스타 이상은 3개월 이전에 취약점 패치가 배포되었으나, 미설치한 유저가 많았고 그 이전 운영체제는 패치가 배포되지 않아 피해를 키웠다. 이에 따라 마이크로소프트는 윈도우 XP 등 지원이 중단된 운영체제의 패치를 5월 13일에 긴급배포하였다.
예방법
'몸값'을 지불해도 복구될 확률이 극히 낮은 만큼 예방이 유일한 대책이다. 사실 기본 보안수칙만 잘 지켜도 피해를 최소화할 수 있다.
- 일반 사용자
- 스팸성 이메일·첨부파일 실행 자제
- 중요 파일 별도 백업 습관화 - 백업 후 물리적인 링크를 끊어놔야 한다.
- 수상한 웹사이트 방문 자제
- 꼭 방문해야 할 경우 애드블록 사용
- OS 및 사용 프로그램 업데이트
- 서비스 제공 업체 및 IT 관리자
만일 걸리면?
시간이 좀 지난 랜섬웨어는 보안업체 등에서 암호화 해제 열쇠를 배포하니, 그걸 기다리는 수밖에 없다.
다만 공격자가 더 이상의 공격을 중단하고 마스터키를 배포하는 경우도 있는데, TeslaCrypt의 경우가 이에 해당된다. 참고
참고
- 잔혹한 악의 화신, 랜섬웨어 Top 6, 안랩, 2015.06.12.
- 안랩 랜섬웨어 보안센터, 안랩
- ViRobot 랜섬웨어 정보센터, HAURI
- 침해 예방안내, 한국랜섬웨어침해대응센터
각주
- ↑ 안랩, 디도스 기능 추가된 변종 랜섬웨어 주의당부, 안랩, 2015.05.01.
- ↑ 최신 모바일 랜섬웨어 앱 및 대응 방안, 안랩, 2015.07.07.
- ↑ 웹툰 업체 및 작가들 사이에 퍼지는 랜섬웨어 주의보, 피해를 예방하시길 바라며, 웹툰인사이트, 2015.07.18.
- ↑ [긴급공지 CryptXXX 계열 UltraCrypter( Cryp1, Crypz )랜섬웨어 확산], 한국랜섬웨어침해대응센터, 2016.06.07.