랜섬웨어 정의 - ransomware | 종류 및 예방 추적 방법

 

 

목차

 

 

 랜섬웨어 정의 - ransomware | 종류 및 예방 추적 방법 

랜섬웨어

일명 악성 소프트웨어.
컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류입니다.

랜섬웨어만 걸렸다 하면 모든 해커들이 원하는건 단 하나.

비트코인

 

이번에는 정말 열받아서 글을 작성해 봅니다 ^^

제가 걸린것은 아니지만,

대신 열이 받아서 작성하게 되네요.

 

열받는 이유는,

1. 해커를 싫어합니다.

2. 비트코인을 접은이유도 해커때문입니다.

3. 랜섬웨어만 걸렸다 하면 비트코인 시세가 올라 배가 아픕니다.

 

참, 어이없는 이유이긴 하지만

이 연관관계가 있답니다.

 

랜섬웨어 정의

랜섬웨어란 몸값을 뜻하는 Ransom과 Software(소프트웨어)가 더하여진 합성어입니다.

나도 모르는 사이 해커는 있습니다.

랜섬웨어는 사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화하는 멀웨어의 한 가지 유형입니다. 

암호화된 파일에 대한 접속 권한을 복구하려면 사용자가 일반적으로 추적이 어려운 비트코인과 같은 전자 결제 방식을 통해을 사이버 범죄자에게 지불해야 합니다. 

 

이러한 사이버 범죄자에게 돈을 지불해야 하다니, 그리고 추적도 안된다니

완전범죄가 이런 완전범죄가 없네요.

 

다들 억울하시잖아요?

피해당한건 난데, 왜 내가 돈을 지불해야 하는지

그러기 전에 예방을 잘 해야겠지만, 그럼에도 불구하고 랜섬웨어에 걸려서 들어온 방문자들이 있을거라 생각합니다.

 

본 글에서는 마지막에 복구사이트도 소개를 하오니, 

참고해주시기 바랍니다.

 

랜섬웨어 감영 방식

대부분 랜섬웨어는 스팸 이메일 공격을 통해 배포됩니다.

모르는 누군가가 email을 보내 이상한 첨부파일을 다운받는것을 유도하지는 않았나요?

가령

"나는 너의 사진을 가지고 있어."

등등

그리고 첨부파일을 열면

랜섬웨어가 똭..

 

위 예는 하나의 예시일 뿐이며, 보통 우리나라 사람이 쓴 것 같지 않고 번역기를 돌린 것 같은 특유의 느낌이 있습니다.

즉, 절대 우리나라 사람이 쓴 것 같은 이메일이 아니면 아무것도 클릭하지 말고 창을 닫으세요.

 

또다른 감영방식은 링크를 클릭하는 건데요.

가령

"유트브 동영상을 다운받고 싶어서 '유투브 동영상 다운받기'를 검색하고 방법을 찾아 따라했는데 어떤 링크를 클릭했다"

라고 하면 위에 예시처럼

랜섬웨어가 똭..

 

Virus - 악성 소프트웨어

두가지의 공통점은 악성 프로그램 또는 사이트에서 주로 익스플로잇 키트(exploit kit)를 사용하여 디바이스의 운영 체제 또는 애플리케이션에서 랜섬웨어를 전송하고 활성화하는 데 사용할 수 있는 취약점이 있는지 탐지합니다. 

 

그렇다면 이런 질문을 할 수 있겠죠.

왜 백신프로그램에서 차단을 못하나요?
왜 백신프로그램은 랜섬웨어를 걸러주지 않나요? 믿었는데..

아무리 백신회사가 빠르기 진보한다고 해도,

새로운 악성프로그램이 나오면 악성프로그램을 치료하기 위한 방법을 연구하여 배포합니다. 

하지만 이마저도 시간이 소요되죠.

그리고 사용자가 PC에 백신프로그램을 실시간으로 업데이트를 하는것이 아닌 이상

취약점은 반드시 존재합니다.

 

우리는 지금 시대에 생각해 볼 수 있는 예시가 있습니다.

COVID19

코로나19가 터진지 벌써 1년이 지났습니다.
코로나가 한번 걸리면 우리는 숨을 쉬기 힘들 정도로 망가지고 맙니다.
이를 고치기 위해서는 약을 처방해야 하는데,
여기서 생각하는 약은 단발성 치료일 뿐입니다.
그렇기 때문에 우리는 미리 예방하는 백신을 준비해야 하는데
그 시일이 벌써 1년이 지나갔습니다.

사이버이기 때문에 업데이트 배포는 이후 순식간에 되겠지만, 백신을 만드는데까지는 어느정도 시간이 소요됩니다.

즉, 아직 코로나가 걸리지 않았더라도 언제 걸릴지 모르는 이 사회가

어떻게 보면 사이버 세계에서의 랜섬웨어 같은 존재가 아닐까 하네요.

 

랜섬웨어의 종류

첫번째 랜섬웨어는 2015년에 유행했습니다.

1. Crypt~ 

크립토 월(CrptoWall) : 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명합니다. 

CryptXXX : 해당 랜섬웨어는 2016년 4월 카스퍼스티에서 복호화 툴을 내놓으면서 사태가 진정되었습니다. 하지만 바이러는 변종이 생기기 마련이죠. 카스퍼스키는 원본과 대조하여 복구를 수행하는데, 변종은 원본에 200KB를 추가시켜 복구 툴을 무력화 시켰습니다. 즉, 의미없는 코드를 추가시켜 복구가 더 힘들게 만듭니다.

CryptXXX 랜섬웨어

 

특징 : !Recovery 메모장에 RSA4096이 적혀있다면 오리지널이고, RZA4096이면 변종입니다. 즉, RSA4096은 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 됩니다.

특징 : RZA 변종도 no more ransom의 rannohdecryptor로 복호화를 진행하면 성공한다는 사례도 있습니다.

 

2. Cerber~ 

Cerber Ransomware : 2016년 들어 이 랜섬웨어의 피해가 급증하고 있습니다. 인터넷이 강제 종료되는 현상을 시작으로 txt, mp3, mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 #DECRYPT MY FILE# 이라는 텍트트 파일이 존재합니다.

 

해결방법은 해커한테 돈을 지불하거나 (일명 먹튀가 많음), 전문 복구 업체한테 연락해서 복구하는 방법밖에 없습니다.

복구 업체도 대략 30% 정도의 낮은 복구 확률을 보이고 있습니다. 강제 종료할 경우 프로그램이고 뭐고 아무 것도 없는 검은색 화면으로 변경됨과 동시에 다른 랜섬웨어가 그렇듯 제어판 및 프로그램 실행 불가 등 PC의 기능이 마비됩니다.

 

Tor Browser 를 이용해 송금하라는 안내문구

 

특징 : CERBER3, 4, 5, 6 등의 변종이 생겨났으며,  CRBR Encrpytor 등으로 비트코인 탈취 기능이 추기되었습니다.

 

3. Magniber~

일명 메그니베르 랜섬웨어

Magniber Ransomware : 사실상 Cerber 랜섬웨어의 후속작입니다. 주로 Windows OS나 Internet Explorer 을 통해 취약점을 이용하여 감염되므로 보안 업데이트가 미비한 PC가 감염되기 쉽습니다. 감염되면 'readme.txt' 라는 랜섬노트가 생성되는 것이 특징입니다.

 

암호화방식이 계속 변경되어 복호화툴 관리도 힘들어지는것은 어쩔 수 없는 현실입니다.

Magniber 랜섬웨어

 

특징 : 2018년 2월 안랩에서 복호화 툴이 나왔지만, 변종인 V2가 나왔습니다.

readme.txt 파일에는 마찬가지로 어디로 비트코인을 보내라고 나와있습니다.

4. ~Locker

시놀락커(SynoLocker) : Synology NAS에 감염되는 랜섬웨어 입니다. (특정 소프트웨어) 해당 업체에서는 Synology DSM 버전을 업데이트 하라고 권고하고 있습니다.

나부터(=NsbLocker) : 가장 약한 형태의 라커입니다. V3를 포함한 어지간한 백신으로도 암호 해제가 가능합니다.

TorLocker :  주로 일본에서만 많이 감염되는 경우가 많으며, 일본 사이트를 자주 경유하는 국내의 컴퓨터도 감염 사례가 있다. 복호화 툴은 몇 가지 있지만 제대로 복구해주는 툴은 없습니다. 과거엔 2ch 게시판 이용자끼리 서로 골려먹으려는 용도로 쓰였지만 현재도 계속 업데이트가 진행되고 있고, 2019년 초를 기점으로 변종이 생겼습니다. 이 변종은 랜섬웨어 유포 범인을 한국으로 몰아가려는 극악무도한 작전이라는 썰이 있습니다.

Locky : Locker 계통 중에서 가장 막강한 유형의 랜섬웨어다. RSA-2048과 AES-128 유형의 암호화 기법을 사용합니다. hwp 까지 암호화하며 Office 의 매크로를 통해 일부 기관 등에 유포되었습니다. 가끔씩 자신에게 쓴 메일인 척 위장하는 경우도 있으므로 주의해야 합니다.

 

JS 파일로 유포되는 Locky 랜섬웨어

해당 JS 파일을 클릭하게 되면 공격자가 미리 설정해 둔 사이트에 접속하여 Locky 랜섬웨어를 내려받고 실행시킵니다.

Locky 랜섬웨어는 로컬 파일뿐만 아니라 네트워크 공유 폴더의 파일들도 RSA-2014, AES-128 알고리즘으로 암호화 하며, 암호화 한 파일들의 확장자를 .locky 로 파꿔놓으며 한번 암호화된 파일을 복구가 사실상 불가능합니다.

 

 

5. 그외 랜섬웨어 中 Sodinokibi 랜섬웨어

Sodinokibi - 랜섬웨어

갠드크랩 랜섬웨어의 변종으로 현재 국내 URL을 통해 감염시키고 있습니다. 이 랜섬웨어는 어떤 파일을 내려받기 위해 구글링을 하는 사람들에게 네봄이 사이트라는 가짜 페이지를 띄워서 그 사람이 찾는 파일로 위장하며, 그 파일을 받아 실행하면 랜섬웨어에 감염됩니다.

 

(출처 - EST Security)

한국어가 2019년 8월 추가되어 많이 유포되고 있습니다.

그 외 여러가지 랜덤쉐어 종류들이 있지만,

주로 많이 발생하는 랜섬웨어를 다루어 봤습니다.

 

 

랜섬웨어 복호화 툴

현재 2021년 까지도 복호화툴이 많이 알려지지 않았습니다.

국내 백신사들도 랜섬웨어 복호화툴을 많이 개발하고 있지만, 실제 유지관리가 힘들기 때문에 (해커가 사용하는 알고리즘이 계속 바뀜) 즉, 변종이 많기 때문에 직접 엔지니어가 두손 걷고 인권비를 지불받고 복호화를 해주는 곳이 대부분입니다. 

그래도 일반 개인이 돈을 주고 복호화하 하기란 다소 무리가 있기 때문에

제가 알고 있는 사이트 두개를 링크로 소개드립니다.

(다만, 이것도 완벽한 방법은 아니기 때문에 너무 기대는 하지 마시기 바랍니다)

 

1. 랜섬웨어 복호화 사이트 - 세계 개발자들이 개발하는 곳?

www.nomoreransom.org/

2. 한국 랜섬웨어 침해 대응센터

www.rancert.com/ransom_kind.php

 

내가 걸린 랜섬웨어 흔적 추적하기

알아두셔야 하는 부분은 랜섬웨어는 백신프로그램으로 잡힐 확률이 너무 낮습니다.

많이 알려진것들은 국내 백신사에서 개발해서 찾기야 하겠지만, 신규 변종 랜섬웨어는 찾기란 무리가 있음을 알아두셔야 합니다.

PC에서 해야할 조치 중 가장 중요한것은 랜섬웨어 숙주 (멜웨어)로 판단되는 PC는 격리시킵니다. 

 

원리를 이해하시면 되는데,

랜섬웨어는 악성프로그램 실행파일을 windows 스케줄러로 눈에 띄지 않게 한달에 한번, 2주에 한번 이런식으로 등록되어 있습니다. 물론 다운받고 (왠만하면 자동수행) 되었을 때 windows 스케줄러도 등록되어 숙주PC를 계속 괴롭힙니다.
- 만약 스케줄러가 10분간격의 실행되도록 되어있다. 라고 한다면 USB나 외장하드를 연결할 때 USB나 외장하드도 랜섬웨어로 감염될 수 있는 원리가 이 원리입니다 (물론 모든 랜섬웨어 방식은 다를 수 있습니다)

그렇다면 악성프로그램 실행파일은 어떻게 감염되었을까?

일단 유입은 인터넷으로부터 걸릴 확률이 높습니다. mail로도 감염될 수 있습니다.

누가 준 파일을 클릭했을 수도 있습니다.

우리가 해야 하는것은 

1. readme.txt 파일을 검색합니다. (혹은 .afiwjks 처럼 암호화된 바로가기 아이콘을 탐색창에서 검색합니다)

- 아래 캡처에 검색도구 창에 검색하면 되겠죠?

탐색기 - 검색창

- 그리고 생성된 시간을 추적합니다.

- 예를들어 readme.txt 파일이 최초 생긴 파일 시간이 2021년 5월 1일 00:00:00 이다! 라고 한다면 우리는 두번째 추적을 진행합니다.

 

2. IE 혹은 크롬에서 인터켓 검색기록을 살펴봅니다.

크롬 [설정] - 방문기록 가는 방법

그러면 아래처럼 해당 readme.txt 파일이 최초 생성된 시간과 유사하게 어느 사이트에서 감염되었는지 의심할 수 있습니다. (프로그램이 수행되는 시간과 인터넷 방문시간은 오차가 있을 수 있으니 그 주변 전부를 둘러보시는것을 권장합니다)

이런식으로 검색기록을 모두 살펴보고, 정말 랜섬웨어 걸릴 사이트를 방문하지 않았는지 살펴보는 것이 중요합니다.

이런식으로 검색기록을 모두 살펴보고, 정말 랜섬웨어 걸릴 사이트를 방문하지 않았는지 살펴보는 것이 중요합니다.

그래야 멜웨어 (숙주파일)이 무엇인지 확인하고 지울 수 있기 때문입니다. 

- 이왕이면 테스트 PC(버릴 PC)에서 똑같은 URL로 접속해 보는것이 좋은 방법이겠죠?

 

많은 사람들이 유투브 동영상을 다운받다가 랜섬웨어 걸리는 사례가 많이 있습니다.

혹은 js파일처럼 개발하려다가 발생하는 경우도 허다하죠.

IT인이라고 해서 바이러스에 안걸리는것이 아니니, 모두 꼭 주위를 해주어야 합니다.

 

3. 멜웨어 (숙주파일)을 찾았으면 지워주시고, 혹시 모를 나중을 위해 백업 후 (복호화 툴이 없어도 존버후 복호화 툴이 나올 수 있습니다), 이제 PC를 포맷합니다. (다른 드라이브 감염을 피하기 위해) 

만약 정말 힘들게 어떻게 어떻게 해서 돈을주고 복호화를 했고 PC를 계속 사용해야 한다면 꼭! Window 스케줄러에 이상한 스케줄이 없는지 확인하고 지워줍니다. (보통 대부분 랜섬웨어가 window 스케줄러를 이용합니다)

 

windows 작업스케줄러 랜섬웨어 있는지 확인

저의 경우는 기본 구글과 마이크로소프트 스케줄러만 등록되어 있는데,

랜섬웨어 악성프로그램은 딱 티가 나니, PC가 2대 있으면 비교해 보고 지워주세요.

 

여기 까지 했으면 어느정도 조치가 되었다고 할 수 있을 것 같네요.

랜섬웨어 걸린건 피해자인데, 피해자임에도 불구하고 돈을 지불해야 하는건

영화로 나와도 될법한 주제네요.

 

추후에 랜섬웨어가 "옛날엔 이랬지ㅋㅋㅋ" 이러면서 웃으며 대화할 수 있는

소재가 되기를 바랍니다. 

 

비트코인의 상승은 계속될 것이다.

랜섬웨어와 같은 악성소프트웨어 악용이 끊이지 않는이상,

그리고 비트코인 추적이 불가능한 이상

비트코인을 요구하는 해커들은 계속 늘어날 것이고,

피해를 당한 기업, 사람들이 비트코인을 구입하게 되며,

이는 비트코인 시장에 수요를 늘리는 역할을 하고 있습니다.

 

어디까지나 개인적인 의견이지만,

비트코인 거래에 있어서 검은돈이 거래되지만 않는다면

비트코인 상승도 줄어들 것이고,

버블현상도 줄어들 것이라 생각합니다.

 

개인적으로 비트코인에 투자를 안하는 1인입니다.
너무 배가 아파서....

다음 글에서는 버블현상에 대해서 포스팅해 보도록 하겠습니다 ^^

 

 

관련글

1.URL

랜섬웨어 복호화툴 - www.nomoreransom.org/

한국랜섬웨어침해대응센터 - www.rancert.com/ransom_kind.php

 

내용이 도움이 되셨거나 초보 블로거를 응원하고 싶으신 분은 아래 하트 ♥공감 버튼을 꾹 눌러주세요!

내용의 수정이 있거나 도움이 필요하신 분은 방명록을 남겨주세요!