본문 바로가기
직장인 톡톡/Smart 직장인 지식

[Ransom ware] 내 파일을 지키는 방법. 파일을 암호화한 후 돈을 요구하는 랜섬웨어란 무엇인가? Crypt0L0cker 바이러스으로 코딩했습니다 랜섬웨어 복구프로그램과 치료 방법은? 크롭토락커(Crypt0L0ke..

by 블로그신 2015. 12. 17.

[Ransom ware] 내 파일을 지키는 방법. 파일을 암호화한 후 돈을 요구하는 랜섬웨어란 무엇인가? Crypt0L0cker 바이러스으로 코딩했습니다 랜섬웨어 복구프로그램과 치료 방법은? 크롭토락커(Crypt0L0ker), 테슬라크립트(TeslaCrypt) 변종, 크립토월(Cryptoywall)3.0 등 이른바 3대 랜섬웨어



갑자기 사진이나 문서가 열리지 않나요?

갑자기 돈을 내놓으라는 메세지나 팝업창이 뜨나요?







당신의 컴퓨터에는 바이러스가 침투되었습니다.

바로 랜섬웨어라는 것 입니다.

랜섬웨어는 ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서등을 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭입니다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램으로, 랜섬웨어에 감염될 경우 파일이 복잡한 알고리즘으로 암호화돼 파일을 열어도 내용을 알아 볼 수 없습니다.






주로 이메일, 소셜네트워크서비스(SNS), 메신저 등을 통해 전송된 첨부파일을 실행하면 감염되며, 웹사이트 방문을 통해 감염되기도 한다. 백신 프로그램으로 악성코드를 없애도 암호화된 파일은 복구되지 않아 ‘사상 최악의 악성코드’라고 불립니다.


해커들은 파일을 열 수 있게 해준다는 조건으로 돈을 요구하는데, 위에서 영어로 작성된 파일이 그 내용이라 생각되며 기한이 지나면 액수가 더 올라가고 파일을 복구할 수 없게 할 수 있다고 협박하기도 합니다. 요구금액은 직접 해커에게 지불하면 140시간 안에 500불이고 140시간이 지나시면 1000불 정도 된다는데 액수가 장난이 아닙니다.

최근에는 출처를 알 수 없도록 비트코인을 통해서 접수를 받기도 합니다.




1. 일단 무조건 백업

랜섬웨어에 대처하는 가장 좋은 방법은 중요한 내용이 담긴 파일을 모두 백업하는 것이다.

랜섬웨어는 가치있는 파일 대부분을 암호화한다. 좀 더 정확히 말하자면 사용자의 노력이 들어간 모든 생산성 관련 파일을 노린다. 현재 시중의 랜섬웨어는 50여종의 파일을 암호화하는 것으로 알려진 상태다. doc, xls, ppt, txt, pdf 같은 문서 파일부터 avi, mp4, mov 같은 동영상 파일까지 종류를 가리지 않는다. jpg, png, bmp, psd, ai 같은 이미지 파일도 암호화한다. zip, rar 같은 압축 파일도 랜섬웨어의 마수를 피해갈 수 없다. 올해 초 국내에 상륙한 랜섬웨어는 hwp 같이 국내에서 통용되는 파일까지 암호화하기 시작했다.

때문에 사용자는 언제나 자신의 작업 결과물과 사무용 문서를 주기적으로 백업해야 한다. 백업해두는 공간은 무엇이든 관계 없다. 외장하드나 USB 메모리도 좋고, 클라우드 저장 서비스도 좋다. 중요한 것은 습관이다. 1~2주에 한 번씩 문서, 동영상, 이미지 등 작업 결과물을 PC 말고 별도의 저장장치에 백업하는 습관을 들여야 한다. 이렇게 파일을 백업해두는 습관을 들이면 랜섬웨어에 당하더라도 피해를 최소화할 수 있다. 설령 백업해두는 습관을 들이지 않았더라도, 지금 이 기사를 보는 즉시 파일을 백업해두길 바란다.


2. 구형 인터넷 익스플로러를 쓰지 말 것

단도직입적으로 말하겠다. 현재 인터넷 익스플로러(IE) 10 이하 버전을 사용 중이라면 즉시 사용을 중지하고 IE 11, 크롬 47, 파이어폭스 43 등 최신 웹 브라우저로 교체해야 한다.

랜섬웨어가 PC에 침투하기 위해 가장 자주 사용하는 방법이 바로 '드라이브 바이 다운로드(Drive by Download)'다. 드라이브 바이 다운로드란 웹 브라우저 또는 플러그인의 보안 취약점을 통해 악성코드가 사용자의 PC에 침투하는 방식이다. 보안 취약점을 노리기 때문에 사용자가 exe, apk 같은 별도의 프로그램을 설치하지 않아도 침투할 수 있는 것이 특징. 때문에 사용자들은 속수무책으로 당할 수밖에 없다.

구형 IE는 지원이 중단되었거나, 곧 중단될 예정이다. 때문에 보안 취약점이 발견되더라도 MS가 보안 패치를 제공하지 않는다. 랜섬웨어가 이 보안 취약점을 통해 사용자의 PC에 제 집 드나들 듯이 침투할 수 있다. 구형 IE를 사용하는 것은 도둑에게 정문을 활짝 열어주는 것과 다를 바 없다.


3. 플래시 플레이어를 최신 버전으로 업데이트하라

랜섬웨어의 주 침투 방법 중 하나가 구형 어도비 플래시 플레이어의 보안 취약점을 활용하는 것이다. 때문에 언제나 플래시 플레이어를 최신 버전으로 유지해야 한다. IE나 파이어폭스 사용자라면 사용자가 직접 플래시 플레이어를 업데이트해야 하고, 크롬과 엣지 사용자라면 웹 브라우저를 업데이트하면 플래시 플레이어도 함께 최신 버전으로 업데이트 된다.

사실 플래시 플레이어는 틈만 나면 보안 취약점이 발견되는 플러그인이다. 때문에 웹 브라우저의 플래시 플레이어 기능을 꺼두거나, 아예 웹 브라우저에 플래시 플레이어를 설치하지 않는 것도 랜섬웨어에 대처하기 위한 좋은 방안이다.


4. 공짜 사이트는 악성코드의 온상

드라마, 영화, 만화, 음악 등을 공짜로 제공하는 공짜 사이트. 저작권법 위반을 논하지 않더라도, 심각한 문제가 하나 더 있다. 바로 악성코드의 온상이라는 것이다. 특히 랜섬웨어가 사용자의 PC로 침투하는데 최적의 경로로 활용되고 있다.

대부분의 공짜 사이트는 각종 광고로 도배되어 있다. 수익을 거두기 위함이다. 이 광고가 바로 보안 위협이다. 공짜 사이트는 저작권법 위반 때문에 구글 애드센스 같은 정상적인 광고를 걸어둘 수 없다. 때문에 각종 불법/성인 광고 위주로 광고 페이지를 구성한다. 영세한 규모의 광고 서버를 통해 제공되는 이 광고가 제대로된 보안 시스템을 갖추고 있을리 없다. 해커는 이러한 약점을 파고든다. 먼저 불법/성인 광고 서버를 해킹해 랜섬웨어를 심고, 랜섬웨어에 감염된 광고를 보는 사용자의 PC에 침투하는 것이다.

홈페이지에 불법/성인 광고가 많으면 많을 수록 랜섬웨어에 감염될 확률도 기하급수적으로 올라간다. 따라서 중요한 파일이 저장된 PC로 공짜 사이트에 접속하는 것은 엄금해야 한다.

구형 IE와 플래시 플레이어를 사용 중이고, 공짜 사이트에 자주 접속하는 사용자라면 이미 랜섬웨어에 걸린 것이나 다름 없다. 지금 감염되지 않았더라도, 곧 감염될 것이다. 사용자들이 명심해야 할 부분이다.


5. 운영체제를 최신으로 업데이트할 것

보안 취약점은 구형 IE와 플래시 플레이어에만 있는 것이 아니다. 윈도 운영체제에도 있을 수 있다. 랜섬웨어는 이러한 틈을 노린다. 때문에 사용자는 MS가 제공하는 보안 패치를 반드시 설치해야 한다.

윈도우7이나 그 이상 버전을 사용 중이라면 MS가 보안 패치를 꼬박꼬박 제공하고 있기 때문에 큰 걱정을 하지 않아도 된다. 하지만 지원이 종료된 윈도우XP 사용자는 이제 보안 패치를 받을 수 없다. 때문에 사용하면서 많은 주의를 기울여야 한다. 가장 최선의 방법은 윈도우XP를 보안 패치를 제공하는 윈도우7 이상의 버전으로 업그레이드하는 것이다.


6. 수상한 이메일을 열지말고, 수상한 파일을 받지말고, 바이러스 백신을 설치하라

악성코드에 대처하는 가장 좋은 방법은 수상한 곳에서 보낸 이메일을 열지 말고, 수상한 파일은 PC에 내려받지 않는 것이다. 거기에 믿을만한 바이러스 백신까지 설치하면 금상첨화다. 어떤 파일이든 PC에 설치하거나 옮기기 앞서 바이러스 백신으로 검사하는 것은 필수다.

이러한 보안상식은 랜섬웨어에도 유효하다. 랜섬웨어의 경우 해외에서 먼저 유행하고 국내에 상륙하는 경우가 많기 때문에 '카스퍼스키' 같은 해외의 유명 바이러스 백신의 대응이 좀 더 빠른 편이다. 기억해두자.


7. 복호화 사이트를 이용하자

만약 랜섬웨어에 감염되어 파일이 암호화됐다면, 복호화 서비스를 이용하는 것도 하나의 방법이다. 카스퍼스키는 암호가 분석되거나, 해커가 검거되어 암호가 공개된 랜섬웨어파일을 복호화할 수 있도록 홈페이지(https://noransom.kaspersky.com/)에서 복호화 서비스를 제공하고 있다.

그러나 복호화 사이트가 만능은 아니다. 새로운 랜섬웨어로 암호화된 파일은 암호를 해제할 수 없으니 큰 기대는 금물이다.


8. 해커한테 돈을 지불해야 하나?

랜섬웨어는 애당초 해커가 부정한 방법으로 돈을 벌기 위해 만들어낸 악성코드다. 때문에 암호화된 파일을 실행하면 암호입력창과 함께 어디로, 어떤 형태로 돈을 지불하면 암호의 답을 보내주겠다는 안내문이 함께 나타난다. 특정 기간내로 입금하지 않으면 암호를 영영 풀 수 없다는 협박은 덤이다. 실제로 랜섬웨어의 암호는 보통 2048비트로 구성되어 있기 때문에 일반적인 방법으로 암호를 푸는 것은 불가능하다.


- 출처 : IT동아 - 







이러한 랜섬웨어의 치료 방법은...

현재로서는 거의 없습니다.

몇몇 유명 랜섬웨어는 치료나 복구할 수 있다고 하지만 소수일 뿐 입니다.


예방책은 주기적으로 중요문서, 사진등은 웹하드나 외장하드에 따로 보관하는 것이 가장 좋습니다.

하드웨어를 하나 더 구매해서 보조로 달고, 그 안에 넣어두는 것 이죠. 윈도우 복구기능이 된다면 그것으로 복구하는 방법으로도 좋을 것 같으나, 복구기능을 꺼두거나 중요문서 등이 없다면 포맷은 필수 입니다.
백신이 깔려 있으면 예방이 된다고 생각하겠지만 랜섬웨어는 바이러스가 아니기 때문에 백신으로는 절대 잡히기 않고 예방만이 최선입니다. 우리나라 백신으로는 차단하기 힘들어요.
광고창 한 개 클릭으로도 감염이 된다는 말도 있기 때문에 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문은 자제해야 합니다.

처음 들어가는 사이트나 외국 사이트는 많이 생각해 보시고 들어가세요.



※ 최근 유행하는 랜섬웨어는 시스템 보호 영역을 설정 하여도 보호 영역 모두를 삭제합니다.
※ Windows 시스템 보호기능의 경우 100% 복원이 가능하지 않을 수 있으므로, 백업 솔루션 사용을 권장 합니다.







CryptoWall4.0
20151126_img01.png

침투 방식
E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문
(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)
위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함
(방화벽 장비 무용지물)

피해 범위
PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,
mp4, mpg, avi, wmv 외 40여가지 확장자)
Cloud Drive, Local Disk, USB Driver, NetWork Drive

특징
파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경
파일을 암호화한 폴더내에 3개의 파일을 생성 (HELP_YOUR_FILES.*)
파일명을 변경시키는 유일한 랜섬웨어

연혁
2014년 3월 CryptoDefense
2014년 6월 CryptoWall
2014년 10월 CryptoWall2.0
2015년 1월 CryptoWall3.0
2015년 11월 CryptoWall4.0

복원방법
해커에게 비용 지불 복원 가능(권장사항 아님)
* Temp 폴더의 파일을 암호화 하지 않음?


※ 앞으로 모바일 랜섬웨어도 판을 칠 것입니다.

   앱을 받을 때에 주의하세요.





이건창호 제품 구경가기 -> [클릭]