본문 바로가기
IT

랜섬웨어에 대해서(종류/예방/치료/복구)

by 콩코미 2021. 4. 29.

랜섬웨어란?


 랜섬웨어(Ransomeware)란 몸값(Ransome)과 악성코드(Malware)의 합성어로, 사용자가 컴퓨터 시스템을 정상적으로 이용하지 못하게 하고 인질로 만들어 금전을 요구하기 위해 퍼뜨리는 악성 프로그램입니다.
 랜섬웨어는 2005년부터 본격적으로 알려졌고, 2010년 이후 급증하고 있는 추세입니다. 특히 2017년 상반기에는 전 세계에서 랜섬웨어로 치명적인 피해를 입기도 하였습니다. 과거에는 암호화 수준이 낮아서 상대적으로 쉽게 데이터를 복구할 수 있었으나 비트코인의 등장 이후 크립토락커가 등장하면서, 보다 어려운 알고리즘으로 암호화하는 등 방법이 다양해지고 점점 진화하게 돼 범인 추적도 어렵고 복호화도 쉽지 않게 되었습니다.


랜섬웨어 종류

1. 크립토락커(CryptoLocker)

  •  크립토락커는 2013년 9월 본격적으로 배포되기 시작하였고, x86 컴퓨터를 사용하는 컴퓨터를 대상으로 한 랜섬웨어입니다. 사용자 시스템의 웹 브라우저가 가지고 있는 보안 취약점을 활용한 DBD(Drive by download) 공격 기법을 통해 감염이 이루어졌습니다. 사용자의 파일과 네트워크 드라이브 파일을 RSA와 AES키로 암호를 걸어 돈을 요구합니다. 크립토락커에 감염이 되면 감염 과정에서 RAM을 가동하므로 컴퓨터가 느려지기 시작합니다. 또한 컴퓨터에 저장되어 있는 대부분의 파일을 복잡한 알고리즘으로 암호화시키고 사용자 pc에 있는 파일의 확장자를 'encrypted' 또는 'ccc'로 변환합니다. 잠겨있는 파일을 열면. 약 4일간의 시간을 주고 비트코인으로 결제하면 암호 해독을 해준다는 팝업창이 뜹니다. 사용자는 이를 복원하기 위해 개발자에게 비용(한화 약 50만 원의 비트코인)을 지불하여야 합니다. 그러나 개발자에게 돈을 지불한다고 해도 복원이 되지 않은 경우가 상당히 많으니 주의하여야 합니다.

* Drive by download : 사용자가 특정 웹사이트에 접속하였을 때 악성 소프트웨어가 사용자의 컴퓨터에 다운되도록 하는 해킹 기법. 불특정 다수가 피해를 보며 클릭하지 않아도 감염이 된다.


2. 테슬라크립트(TeslaCrypt)

  • 테슬라크립트는 2015년 국내에 많이 유포된 렌섬웨어입니다. CryptoLocker와 크립토 월을 조합하여 만들어진 랜섬웨어로 주로 이메일과 앵글러 익스플로잇 키트(Angler Exploit Kit) 취약점을 통해 배포가 됩니다. 앵글러(Angler)는 어도비 플래시의 취약점을 악용하여 테슬라크립트 변종을 다운로드합니다. 테슬라크립트에 감염이 되면 사용자 pc의 파일 확장자를 'ecc'와 'micr'으로 변경합니다. 테슬라크립트는 4.0까지 나타나면서 복구가 어려웠으나 2016년에 개발자가 범행을 중단하고 복호화 마스터키를 공개하면서 복구가 가능하게 되었습니다.

 

3. 록키(Locky)

  • 록키는 2016년 이후 이메일을 통해 유포가 되었습니다. 주로 스팸메일을 통하여 유포가 되고 제목에 Invoice(송장), Document(문서)로 시작하고 zip 압축파일이 첨부되는 경우가 많습니다. RSA-2048과 AES-128 유형의 암호화 기법을 사용하여 로컬 파일과 네트워크 공유 폴더의 파일까지도 암호화시킵니다. 감염이 되면 파일의 확장자는 'locky'로 변합니다. 암호화가 끝나면 바탕화면에 감염 사실을 알리고 합의금으로 1.5비트 코인을 요구합니다.


예방법

  • 백업 - 랜섬웨어 유포 방식이 다양화되면서 컴퓨터를 완벽하게 지킬 수 있는 방법이 없어졌습니다. 그렇기 때문에 사전에 중요한 데이터는 주기적으로 백업하는 것이 좋습니다. 백업 방법으로는 NAS, 클라우드 서비스, 외장하드/usb 드라이브, 시스템 복원 등이 있습니다.
  • 업데이트 - 운영체제(OS)와 안티바이러스(백신) 프로그램을 최신 버전으로 업데이트하여 사용하도록 합니다. 랜섬웨어의 공격자들은 업데이트가 되지 않은 시스템을 노리므로 Microsoft에서 정기적으로 보안 업데이트를 받아 사용하여야 합니다. 운영체제, 브라우저, 플래시 플레이어(Flash Player), 자바(Java) 업데이트만 꾸준히 설치해도 감염 가능성이 줄어들게 됩니다. 또한 보안이 취약한 사이트의 방문은 자제하도록 합니다.


조치

  • 랜섬웨어에 감염이 되었다면, 우선 PC와 연결된 외부 저장소들을 모두 분리시키도록 합니다. 또한 인터넷선을 제거하고 와이파이를 끄는 등 네트워크를 모두 차단하도록 합니다.
  • 경찰에 신고한 후에 하드디스크를 전문 보안업체에 맡겨 치료를 요청하도록 하고, 감염된 PC는 포맷하여 최신 백신과 프로그램으로 업데이트합니다.
  • 평소에 해킹이 우려되거나 피해를 신고하고 싶을 때, 원격 점검을 받을 때에는 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스를 제공하고 있습니다.

 

 

+ Windows10 업데이트 관련 포스팅

kongit.tistory.com/entry/Windows10-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C%EB%81%84%EA%B8%B0%ED%99%95%EC%9D%B8

저작자표시

'IT' 카테고리의 다른 글

인공지능 딥러닝 머신러닝 차이  (0) 2021.05.06
병목현상에 대해서(원인/증상/해결방법)  (0) 2021.05.04
크리에이티브 커먼즈 저작자 표시 라이선스  (0) 2021.05.04
Windows10 업데이트 다운로드/Windows10 자동 업데이트 끄기  (0) 2021.04.29
암호화폐란?  (0) 2021.04.26

관련글

댓글

티스토리툴바