(→예방법) |
Jurpop0726 (토론 | 기여) 편집 요약 없음 태그: 모니위키(나무위키) 문법 사용이 의심됨 |
||
| 18번째 줄: | 18번째 줄: | ||
마지막으로, 암호화가 완료되었다면 폴더마다 파일을 복구하고 싶으면 돈을 지불하라는 HTML 파일, 텍스트 파일, 이미지 파일을 생성한다. 경우에 따라서는 바탕 화면 배경이 해당 이미지 파일로 변경되는 경우도 있다. 또 이 순간부터 중요한 시스템 프로그램이 열리지 않는다. 만약 프로그램이 열리지 못하는 것을 참지 못 하고 바로 재부팅한다면 [[운영체제]]가 아예 부팅조차 되지 않는 일이 발생한다. 그렇게 되면 운영체제를 다시 설치할 수밖에 없으며, 그렇게 되면 파일을 복구할 수 있는 기회를 영원히 날려버리게 된다. | 마지막으로, 암호화가 완료되었다면 폴더마다 파일을 복구하고 싶으면 돈을 지불하라는 HTML 파일, 텍스트 파일, 이미지 파일을 생성한다. 경우에 따라서는 바탕 화면 배경이 해당 이미지 파일로 변경되는 경우도 있다. 또 이 순간부터 중요한 시스템 프로그램이 열리지 않는다. 만약 프로그램이 열리지 못하는 것을 참지 못 하고 바로 재부팅한다면 [[운영체제]]가 아예 부팅조차 되지 않는 일이 발생한다. 그렇게 되면 운영체제를 다시 설치할 수밖에 없으며, 그렇게 되면 파일을 복구할 수 있는 기회를 영원히 날려버리게 된다. | ||
==상세== | |||
감염되면 CPU 쿨러가 미친듯이 회전하며 파일을 암호화하기 시작한다. 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다. | |||
더 자세히 설명하자면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이긴 하지만. | |||
암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다. | |||
중요 시스템 프로그램이 열리지 않는다. | |||
명령 프롬프트 | |||
[ 명령 프롬프트가 열리지 않기 때문에, 도스 기반으로 우회해서 파일을 복사한다든지 별도의 도스 기반 비상용 백신을 돌리는 게 불가능해진다. mzk도 여기서부터는 무용지물.], 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능 워드패드(Word Pad), 레지스트리(regedit). 알림 목록[윈도우10 한정, 사실 윈10에서는 대부분의 랜섬웨어가 전부 Windows Defender에서 차단되어 버리기 때문에 끄거나 프로그램을 승인하지 않는 이상 걸릴 확률이 낮긴하다.] 등. | |||
윈도우 복원 시점이 제거되거나 업데이트를 막아버린다. | |||
별도의 다른 악성코드를 심기도 한다. | |||
CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다. | |||
암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 '''암호화하고 난 뒤에''' 생성하므로 참조할 것. | |||
[즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는단 소리다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분.] | |||
안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다. | |||
안전모드로 진입할 수 없다. | |||
암호화된 파일을 열 수 없다. | |||
만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다. | |||
강제로 이동식 저장장치의 연결을 해제시킨다. | |||
외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장하드가 손상되는 경우가 있다[연결을 해제했다 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드섹터가 발생할 수 있기 때문] | |||
재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다. | |||
악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다. | |||
실행되면 숙주파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다. | |||
특정 경우 연결된 이동식 저장매체 또한 감염된다. 외장하드, [[USB 메모리]], [[SD카드]] 등. 심지어 [[플로피 디스크]]도 감염된다. | |||
이쯤 되면 대략 '''가정용 컴퓨터로는 [[버틸 수가 없다!]]''' 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.[* 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항방법으로 사용할 수 있지만, 안전모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 다른 랜섬웨어의 경우는 추가바람. 그리고 이런게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.] | |||
간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다.[* 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다] | |||
위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 '''파일의 확장자를 바꾸거나 암호화하는 것'''은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다. | |||
==피해 사례== | ==피해 사례== | ||
2018년 3월 23일 (금) 04:29 판
개요
랜섬웨어란 몸값을 뜻하는 ransom과 소프트웨어를 뜻하는 ware가 합쳐져 만들어진 단어이며 국내에는 2010년대 중반부터 돌기 시작했다.
이 악성코드에 감염되면 컴퓨터의 파일들이 암호화되며니 기지 다 내꺼다요, 몸값을 내면 암호화를 풀어주겠다는 텍스트라 출력된다. 요구하는 몸값은 한국에서 가장 최근에 문제가 된 크립토락커가 40만 혹은 50만원. 몸값을 내면 인질이 된 자료를 풀어줄...리가 없다. 감염된 파일의 복원 성공률은 겨우 약 3%에 불과하다.
2015년 5월 1일 컴퓨터 백신 업체 안랩에 따르면 디도스 기능이 추가된 변종 랜섬웨어도 발견됐다고 한다.[1] 또한 스마트폰 등 모바일 기기를 대상으로 한 랜섬웨어도 발견됐다.[2]
증상
랜섬웨어에 감염되면, 한동안 CPU 사용량이 미친 듯이 치솟으며[3] 하드디스크를 읽는다. 그리고 있는 대로 메모리를 끌어쓰기 시작하는데, 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만드는 경우도 있다.
그 다음에는 컴퓨터 성능과 용량에 따라 달라지지만 보통 10분에서 1~2시간 사이에 전체 파일 찾기를 실행한다. 보통 C&C 서버에서 RSA 공개키를 받아온 다음 파일 데이터들을 전체 검색하듯이 찾기 시작한다.
이렇게 파일 목록과 RSA 공개키가 확보되면 파일 각각에 대한 AES 키를 매번 생성하여 파일을 암호화하기 시작한다. 파일 내용을 암호화하고 파일로 다시 쓸 때, 보통 이 때 사용한 AES 키를 아까 서버에서 받아온 RSA 공개키를 이용해서 암호화하여 같이 저장한다. 따라서 공격자만 갖고 있는 비밀키가 있어야 이 AES 키를 알아내서 복호화를 할 수 있다.
마지막으로, 암호화가 완료되었다면 폴더마다 파일을 복구하고 싶으면 돈을 지불하라는 HTML 파일, 텍스트 파일, 이미지 파일을 생성한다. 경우에 따라서는 바탕 화면 배경이 해당 이미지 파일로 변경되는 경우도 있다. 또 이 순간부터 중요한 시스템 프로그램이 열리지 않는다. 만약 프로그램이 열리지 못하는 것을 참지 못 하고 바로 재부팅한다면 운영체제가 아예 부팅조차 되지 않는 일이 발생한다. 그렇게 되면 운영체제를 다시 설치할 수밖에 없으며, 그렇게 되면 파일을 복구할 수 있는 기회를 영원히 날려버리게 된다.
상세
감염되면 CPU 쿨러가 미친듯이 회전하며 파일을 암호화하기 시작한다. 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.
더 자세히 설명하자면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이긴 하지만.
암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.
중요 시스템 프로그램이 열리지 않는다.
명령 프롬프트 [ 명령 프롬프트가 열리지 않기 때문에, 도스 기반으로 우회해서 파일을 복사한다든지 별도의 도스 기반 비상용 백신을 돌리는 게 불가능해진다. mzk도 여기서부터는 무용지물.], 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능 워드패드(Word Pad), 레지스트리(regedit). 알림 목록[윈도우10 한정, 사실 윈10에서는 대부분의 랜섬웨어가 전부 Windows Defender에서 차단되어 버리기 때문에 끄거나 프로그램을 승인하지 않는 이상 걸릴 확률이 낮긴하다.] 등.
윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.
별도의 다른 악성코드를 심기도 한다. CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.
암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. [즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는단 소리다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분.]
안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다. 안전모드로 진입할 수 없다. 암호화된 파일을 열 수 없다. 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다. 강제로 이동식 저장장치의 연결을 해제시킨다. 외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장하드가 손상되는 경우가 있다[연결을 해제했다 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드섹터가 발생할 수 있기 때문] 재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다. 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
실행되면 숙주파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다. 특정 경우 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등. 심지어 플로피 디스크도 감염된다.
이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다! 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.[* 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항방법으로 사용할 수 있지만, 안전모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 다른 랜섬웨어의 경우는 추가바람. 그리고 이런게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.]
간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다.[* 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다]
위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸거나 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.
피해 사례
플래시 플레이어와 인터넷 익스플로러의 보안취약점을 악용한 사례가 많은데, 이 두 가지가 조합되는 외부 광고를 단 사이트에서 피해 사례가 많이 발견된다.
- 2015년 4월 21일 커뮤니티 사이트 클리앙에서 광고배너를 통해 랜섬웨어가 유포되었다.
- 2015년 7월경, 만화가·만화업체들 사이에서 랜섬웨어 피해를 입는 일이 속출했다. 일부 작가는 그간 작업물이 모두 암호화되는 큰 피해를 입기도 했다.[4]
- 2016년 6월 3일부터 6월 7일까지 커뮤니티 사이트 뽐뿌에서 광고배너를 통해 CryptXXX 계열 랜섬웨어가 유포되었다.[5]
- 2017년 5월 경 윈도우 SMB 취약점을 통해 워너크립터 변형 랜섬웨어가 유포되었다. 기존 랜섬웨어가 보안이 취약한 사이트에 자리잡고 희생자가 들어오는 것을 기다렸다면, 워너크립토 변형은 SMB 서비스를 통해 자신을 스스로 유포한다는 것이 특징.
- 2017년 6월 웹호스팅 업체가 랜섬웨어 공격을 받아 수많은 사이트가 마비에 빠지는 사건이 일어났다.[6]
예방법
'몸값'을 지불해도 복구될 확률이 극히 낮은 만큼 예방이 유일한 대책이다. 사실 기본 보안수칙만 잘 지켜도 피해를 최소화할 수 있다.
- 일반 사용자
- 스팸성 이메일·첨부파일 실행 자제
- 중요 파일을 외장 하드디스크 및 다른 컴퓨터에 백업하기
- 수상한 웹사이트 방문 자제
- 꼭 방문해야 할 경우 애드블록 사용
- OS 및 사용 프로그램 업데이트
- 서비스 제공 업체 및 IT 관리자
만일 걸리면?
시간이 좀 지난 랜섬웨어는 보안업체 등에서 암호화 해제 열쇠를 배포하니, 그걸 기다리는 수밖에 없다. 글로벌 프로젝트 <노모어랜섬>에서 열쇠를 찾을 수 있다.
다만 공격자가 더 이상의 공격을 중단하고 마스터키를 배포하는 경우도 있는데, TeslaCrypt의 경우가 이에 해당된다. 참고
참고
- 잔혹한 악의 화신, 랜섬웨어 Top 6, 안랩, 2015.06.12.
- 안랩 랜섬웨어 보안센터, 안랩
- ViRobot 랜섬웨어 정보센터, HAURI
- 침해 예방안내, 한국랜섬웨어침해대응센터
각주
- ↑ 안랩, 디도스 기능 추가된 변종 랜섬웨어 주의당부, 안랩, 2015.05.01.
- ↑ 최신 모바일 랜섬웨어 앱 및 대응 방안, 안랩, 2015.07.07.
- ↑ 이때 반응형 쿨링을 하는 노트북 등은 쿨러 소음이 커진다. 청각적인 신호.
- ↑ 웹툰 업체 및 작가들 사이에 퍼지는 랜섬웨어 주의보, 피해를 예방하시길 바라며, 웹툰인사이트, 2015.07.18.
- ↑ CryptXXX 계열 UltraCrypter( Cryp1, Crypz )랜섬웨어 확산, 한국랜섬웨어침해대응센터, 2016.06.07.
- ↑ '고객사 1만여 개' 웹호스팅 업체, 랜섬웨어 감염, SBS, 2017.06.10.