■ 랜섬웨어

 

랜섬웨어(Ransomware)는 납치된 사람에 대한 몸값을 의미하는 'Ransom'과 소프트웨어'ware'의 합성어 입니다.

 

랜섬웨어에 감염되면 PC에 저장된 파일자료가 일부 또는 대부분을 잃을 수 있습니다.

 

사용자의 파일자료를 암호화시켜서 복호화(암호화된 파일을 해독하는 것) 시키기 전 까지는 사용이 불가능하게 만들어 버립니다.

 

하나의 사례로 Crypt0L0cker(CryptoLocker)라는 랜섬웨어의 경우,

 

감염된 PC에 저장된 사용자의 여러가지 문서 (오피스, 사진등)을 모두 탐색하여 암호화 시킵니다.

 

RSA-2048 방식으로 암호화 시긴다고 알려져 있으나, 한국 마이크로트랜드(소프트웨어 보안업체)에서는 AES+RSA 암호화를 사용한다고 밝힌 바 있습니다.

 

RSA 암호는 비대칭키 암호, 즉 2개의 키를 사용하는 방식으로 1개는 정보를 암호화에 사용하고 나머지 1개는 복호화에 사용하는 방식입니다.

 

키에는 외부의 제3자도 입수할 수 있는 공개키와 사용자가 관리하는 비밀키가 있습니다.

 

한편 AES 암호는 대칭키 암호화 방식으로, 동일한 키가 암호화 및 복호화에 사용됩니다.

 

랜섬웨어는 AES 키를 이용해 파일을 암호화하며, 복호화를 위한 AES 키는 랜섬웨어에 의해 암호화된 파일 내에 저장되어 있습니다.

 

그러나 복호화를 위한 키는 랜섬웨어 내에 삽입된 RSA 공개키로 암호화되어 있습니다.

(암호화된 파일을 복호화하기 위해서는 비밀키가 필요하게 되는데 그것을 입수할 수가 없습니다)

 

따라서 랜섬웨어 배포자는 복호화에 필요한 비밀키를 제공해주는 댓가로 금전과 입금기간을 요구하며 사용자를 협박하게 됩니다.

(실재로 돈을 입금해도 복호화가 가능하지 않은 경우가 대부분입니다)

 

※ 클라우드에 저장된 데이터도 안전하지 않습니다.

 

 

 

 

■ 많이 알려진 랜섬웨어의 종류

 

심플로커(SimpleLocker):

모바일 랜섬웨어의 일종으로 스마트폰의 사진이나 동영상, 문서를 암호화해서 금전을 요구합니다. (2014년 5월부터 꾸준히 발견됨)

크립토락커(CryptoLocker):

피해자 PC의 파일을 암호화한 후 비트코인이나 현금을 요구하며, 돈을 보내지 않으면 이를 풀어주지 않겠다고 협박합니다.

스케어웨어(Scareware):

이 랜섬웨어는 가장 단순한 형태의 악성코드로 대체로 가짜 안티바이러스 프로그램이나 바이러스 제거 툴로 위장해서 PC에 문제가 많으니 돈을 내고 이를 고쳐야 한다고 경고합니다.

이런 류의 랜섬웨어 가운데 일부는 PC를 사용할 수 있게 하지만, 대신 경고창과 팝업으로 도배를 해서 불편을 주는가 하면 아예 프로그램 작동이 불가능하게 만드는 경우도 있습니다.

락-스크린(Lock-Screen):

이 랜섬웨어에 감염되면 PC를 전혀 사용할 수 없게됩니다.

일반적으로 풀 사이즈 윈도 창을 여러 개 띄우는데 FBI나 사법부 로고를 보이면서 불법 다운로드 등으로 법을 어겼으니 벌금을 내야 한다며 협박하기도 합니다.

 

 

■ 치료 및 데이터 복구법

 

조치는 ① 랜섬웨어 검출/제거와 ② 데이터 복구 두 가지 단계로 진행됩니다.

 

대부분의 악성프로그램과 마찬가지로 백신의 검색엔진에 랜섬웨어의 정보가 포함되어 있어서 검출이 가능하느냐가 중요합니다.

 

만약 변종의 경우, 백신이 검출 및 치료를 하지 못할 수 있으며 이것은 소중한 데이터를 잃게 됨을 의미합니다.

 

안랩, 알약, 바이로봇, 마이크로트랜드 등 보안 업체에서 제공하는 전용 또는 범용 소프트웨어를 설치하여 조치를 해야 합니다.

 

현재 대응 완료가 확인된 백신은 아래와 같습니다.

알약
업데이트 내용 :
진단명 - Trojan.Ransom.cryptolocker

바이로봇
업데이트 내용 :
진단명
Trojan.Win32.R.CryptoLocker.229892
Trojan.Win32.S.CryptoLocker.841728

V3
업데이트 내용 :
진단명 - Win-Trojan/Cryptolocker.22989

 

 

백신은 랜섬웨어에 의해 암호화된 파일을 복구시키지는 못합니다.

- 이 백신은 암호화되지 않은 상태의 컴퓨터의 암호화 프로그램을 삭제시키기 위해 알려드리는 정보입니다.
- 이미 감염되어 암호화가 된 이후라면 아래 문서를 참고하세요.
* 랜섬웨어 침해시 대응방법 :

 

 

추가로 아래의 링크는 랜섬웨어를 제거한 상태에서 암호화된 파일을 복구 방법이니 참고하여 주시기 바랍니다.

(파일몬 프로그램을 이용해서 모니터링하고 리큐바(데이터 복구 툴)를 이용해서 검사한 내용이 있습니다)

 

 

 

 

■ 예방법

1. Windows 보안 업데이트를 주기적으로 하여 항상 최신 버전으로 유지 합니다.

2. 그룹웨어의 V3 프로그램을 다운받아 설치하여 최신버전의 엔진으로 업데이트를 합니다. (정상적으로 실행되었다면 자동으로 최신버전 업데이트 됩니다.)

3. 출처가 불분명한 파일은 실행하지 않습니다.

 

이상 업무에 도움이 되시기 바랍니다.